国外13 种最佳入侵检测和防御系统测评 （IDPS）国内绿盟、山石上榜！

入侵检测系统 （IDS） 和入侵防御系统 （IPS）（通常与入侵检测和防御 （IDPS） 结合使用）长期以来一直是网络安全防御的关键部分，用于检测、跟踪和阻止威胁流量和恶意软件。

随着网络安全解决方案从防火墙早期的发展，这些独特的功能合并为组织提供组合的IDPS解决方案。随着 IDPS 日益成为下一代防火墙 （NGFW）、SIEM 和 XDR 等高级解决方案的一部分，快进和安全工具继续结合功能。虽然IDPS附带越来越多的产品和托管服务，但供应商仍然提供独立的IDPS解决方案，允许组织选择支持其其他安全资产和需求的解决方案。无论是物理、云还是虚拟设备，当今的下一代入侵防御系统 （NGIPS） 都值得任何企业考虑。

趋势科技引爆点下一代入侵防御系统 （NGIPS）

全球网络安全供应商趋势科技是下一代入侵防御系统的行业领导者，提供其 TippingPoint 解决方案，用于抵御当今最复杂的威胁。TippingPoint 可作为物理设备、云或虚拟 IPS 提供，是一种强大的网络安全解决方案，用于防范零日漏洞和已知漏洞。无论是端点、服务器还是网络防护，趋势科技 TippingPoint 都可以扫描入站、出站和横向流量，并实时阻止威胁。管理员可以通过对网络的完全可见性来最大程度地进行漏洞管理和威胁搜寻工作。

趋势科技引爆点 NGIPS 功能

• 与现有漏洞工具和常见 CVE 映射集成以进行修复

• 通过看门狗定时器、内置检测旁路和热插拔实现高可用性

• 用于配置威胁防护策略的现成推荐设置

• 对 URL 和恶意流量进行深入的包装检查和声誉分析

• 低延迟，检测数据吞吐量性能选项高达 100 Gbps

• 用户评价很高

思科火力下一代 IPS （NGIPS）

对于高级威胁的新时代，这家IT巨头提供了思科Firepower下一代IPS（NGIPS）系列。

客户可以根据吞吐量、并发和新会话以及故障到线 （FTW） 接口选择 NGIPS，少数设备可供选择。

每个 NGIPS 型号都配备思科安全智能以及检测、阻止、跟踪、分析和遏制恶意软件的功能。

在 Firepower 管理中心，管理员可以访问和管理用于监控、日志记录、报告和配置的策略，这些策略具有广泛的功能，例如 80 个类别，涵盖 2.8 亿个用于 URL 过滤的地址。

思科还拥有Snort开源项目并为其做出了贡献 - 请参阅下面的Snort条目。 

思科火力 NGIPS 功能

• 通过自定义应用程序的集成选项了解 4，000 个商业应用程序

• 用于解决高级文件相关威胁的高级恶意软件防护 （AMP）

• 嵌入式 DNS、IP 和 URL 安全智能以及 35，000 条 IPS 规则

• 用于发现和阻止异常流量和敏感数据访问的策略

• 威胁分析和评分，以及使用文件沙盒进行恶意软件行为分析

检查点入侵防御系统 （IPS）

检查点入侵防御系统 （IPS） 包含在防火墙先驱的 NGFW 系列中，为组织提供必要的功能，以防止规避和复杂的攻击技术。Check Point IPS 扫描行为和协议异常，可以检测和阻止 DNS 隧道尝试、无签名攻击、协议滥用和已知的 CVE。通过内置的防病毒、反机器人和沙盒 （SandBlast） 功能访问权限，组织可以使用默认和推荐策略快速部署 IPS。根据组织设备和网络安全需求，管理员还可以按漏洞严重性、攻击检测可信度和性能影响来设置签名和保护规则。Check Point IPS一直在为其企业防火墙使用Quantum名称，而Quantum Spark则是针对中小企业的入门级设备。

检查点 IPS 功能

• 高达 1Tbps 的 IPS 吞吐量，确保 Check Point 的 Maestro 大规模网络安全

• 针对关键安全事件和所需修复的详细且可定制的报告

• 针对多种协议的漏洞检测，包括 HTTP、POP、IMAP 和 SMTP

• 根据供应商、产品、协议、文件类型和威胁年份的标记配置策略

• 通过安全网关每 2 小时自动进行一次虚拟修补和安全更新

Trellix 网络安全

对于其下一代入侵检测和防御系统 （IDPS），Trellix 网络安全平台包括 IPS，并提供威胁情报、集成和策略管理来处理复杂的威胁。Trellix由McAfee Enterprise和FireEye合并而成，特别适合现有的Trellix客户以及已经采用McAfee和FireEye解决方案并寻求高级威胁预防和检测的客户，以及对更广泛的Trellix XDR平台感兴趣的客户。与提供入门级解决方案的竞争对手相比，Trellix 解决方案似乎更高档。NX2600（从 250 Mbps 吞吐量开始）是该公司成本较低的入门产品，而高端 NS 系列则从 3Gbps NS7500 开始。

Trellix 网络安全功能

• 用于 DDoS 攻击防护的自学习、基于配置文件的检测和连接计时

• 通过 TCP 流重组、IP 碎片整理和主机速率限制进行入侵防御

• 威胁情报，包括应用、协议、文件、IP 和 URL 的信誉分析

• 通过 DNS 下沉、关联和 CnC 数据库提供僵尸网络和回调保护

• 可扩展，吞吐量选项高达 30 Gbps（单个设备）和 100 Gbps（堆叠）

山石S系列网络入侵防御系统（NIPS）

自2006年以来，Hillstone Networks拥有超过20，000家企业客户，提供一套网络安全解决方案来保护当今的混合基础设施。作为 Hillstone 边缘保护工具的一部分，组织可以在 Hillstone 行业认可的 NGFW 及其内联网络入侵防御系统 （NIPS） 设备系列之间进行选择。S 系列NIPS的 IPS 吞吐量限制范围从 1 Gbps 到 12 Gbps，可满足一系列网络安全需求。Hillstone NIPS检查引擎包括近 13，000 个签名和用于自定义签名、基于速率的检测和协议异常检测的选项。

山石 S 系列 NIPS 特点

• 防病毒、反垃圾邮件、URL 过滤、僵尸网络 C2 防护和云沙箱

• 高可用性功能，如 AP/对等模式、心跳接口、故障转移等

• 按名称、类别、子类别、风险或技术阻止、监视或筛选 4，000+ 个应用

• 由已知和未知恶意软件系列提供的实时行为分析

• 基于云的统一管理，用于优化分布式远程NIPS设备

绿盟科技下一代入侵防御系统 （NGIPS）

绿盟科技于2000年推出，提供一系列技术，包括网络安全、威胁情报和应用程序安全。对于IPDS功能，这家总部位于圣克拉拉和北京的供应商提供了绿盟科技下一代入侵防御系统（NGIPS），其中少数设备可提供高达20Gbps的IPS吞吐量。全球僵尸网络、漏洞利用和恶意软件的实时情报为发现和拒绝高级威胁提供信息。组织可以选择添加绿盟科技威胁分析中心 （TAC），使用静态分析、虚拟沙盒执行、防病毒和 IP 信誉分析，以获得更强大的引擎。

绿盟科技特点

• 响应方法包括阻止、直通、警报、隔离和捕获数据包

• 针对 Webshell、XSS、SQL 注入和恶意 URL 的 Web 安全和防护

• 9，000+ 威胁特征、IPS 策略类别和复杂密码策略

• 入站/出站流量的流量分析、带宽管理和 NetFlow 数据

• 针对 TCP/UDP 端口扫描、泛洪（ICMP、DNS、ACK、SYN）等的 DDoS 保护

帕洛阿尔托网络威胁防御

Palo Alto Networks 威胁防御以传统的入侵检测和防御系统为基础，为所有端口提供一系列高级功能和保护，以应对不断变化的威胁形势。威胁防护订阅包含在供应商业界领先的下一代防火墙（PA 系列）中，提供多个防御层，包括基于启发式分析、可配置的自定义漏洞签名、格式错误的数据包阻止、TCP 重组和 IP 碎片整理。借助Palo Alto Networks威胁防御，管理员可以扫描所有流量以获得全面的上下文可见性，部署Snort和Uricata规则，阻止C2风险，并针对最新威胁自动更新策略。Palo Alto Advanced Threat Prevention是该公司的云交付安全服务之一，与公司的本地产品共享情报。

帕洛阿尔托网络威胁防御功能

• 通过文件和下载阻止以及 SSL 解密降低风险和攻击面

• 通过 PA 系列为端点提供全球保护网络安全的远程用户保护

• 根据实时恶意流量生成 C2 签名以阻止 C2 流量

• 与PAN的高级恶意软件分析引擎集成，用于扫描威胁，野火

• 通过基于解码器的分析和基于异常的保护实现协议的可见性

定价：联系帕洛阿尔托获取报价。

OSSEC HIDS

OSSEC HIDS是一个开源的基于主机的入侵检测系统，为Linux，Solaris，AIX，HP-UX，BSD，Windows，Mac和VMware ESX的安全性提供了主动解决方案。此外，该解决方案经过优化，将对系统性能的影响降至最低。OSSEC 被大型组织、政府、金融机构和需要保护免受网络攻击的各种实体使用。

OSSEC HIDS 功能

• 基于日志的入侵检测 （LID） – 使用管理员指定的规则实时分析审核日志，以检测对系统或网络资源的未经授权的入侵。对于系统管理员监视恶意软件安装的用户和 rootkit 的活动非常有用。

• 文件**完整性监控 （FIM）：**允许检测文件更改或添加，即使没有警报，以及在检测到未由授权管理员进行的更改时发出警报。在跟踪未经授权的数据修改或访问尝试时，可用于取证调查目的。

• 法规遵从性审核：检测违反 IT 策略或法规的情况，包括 HIPAA 和 SOX 等法规遵从性要求。

• Rootkit 和恶意软件检测：扫描主机以查找已知的不良进程、文件、目录和可疑可执行文件;支持动态插件和脚本来识别新的 rootkit。

• 主动响应：通过多种机制提供对攻击的实时响应，包括防火墙策略、与第三方（如 CDN 和支持门户）的集成以及自我修复操作。

• **系统清单：**监控服务器和网络在硬件、软件、网络配置和状态方面的所有重要方面。它还可以提供库存报告，以帮助创建资产库存。

定价：免费和开源，但提供商业支持。

Snort

Snort是一个开源的网络入侵防御系统，用于分析计算机网络的数据包。Snort旨在检测或阻止入侵或攻击，重点是识别隐蔽，多阶段和复杂的攻击，例如缓冲区溢出攻击。

Snort有三个主要用例。首先，它可以用作数据包嗅探器、记录器或成熟的网络入侵防御系统。

此外，它具有模块化架构，因此您可以创建检测插件。因此，例如，如果您要在HTTP流量中查找特定内容，则可以使过滤器查找它。

Snort 使用基于规则的语言来捕获可疑活动，而无需解析单个数据包;这使得它比其他 IDPS 系统快得多，并减少了误报。Snort还配备了图形用户界面，可实时监控交通流量。

思科拥有Snort项目并为该项目做出了贡献。

鼻息特点

• Snort 使网络管理员能够识别网络安全攻击方法，例如操作系统指纹识别、拒绝服务 （DoS） 攻击和分布式 DoS （DDoS） 攻击、通用网关接口 （CGI） 攻击、缓冲区溢出和隐形端口扫描。

• 通过一个名为snort.conf的配置文件，Snort IDPS可以分析网络流量，并将其与用户定义的Snort规则集进行比较。

• 如果配置正确，snort将提供有关企业网络上发生的事情的持续信息。此外，它还为用户提供有关潜在威胁和漏洞的实时警报。

• Snort收集它看到的每个数据包，并将其以分层模式（如文件系统）放置在日志记录目录中，从而可以轻松查明攻击。

• 协议分析 – Snort 通过检查 TCP/IP、UDP、ICMPv4/icmpv6、IGMPv2/IGMPv3 和 IPX/SPX 等协议中的有效载荷和元数据来识别恶意数据包。

警报逻辑托管检测和响应 （MDR）

Alert Logic在此列表中添加了托管服务产品，IDPS服务是公司更广泛的MDR服务的一部分，包括端点保护，网络保护，安全管理，众包威胁情报，公共威胁源和加密通信。

Alert Logic 的 MDR 平台可以部署在本地或作为云服务部署。托管安全服务具有行业领先的仪表板和分析功能，可为组织提供有关其网络活动、威胁、漏洞、用户、数据和配置的见解，以确保主动检测和响应。

警报逻辑 MDR 功能

• 为了及早检测和隔离终结点攻击（包括“零日”威胁），Alert Logic 部署了一个专用代理，该代理使用机器学习和行为分析来监视 Windows 和 Mac 终结点。

• 借助 Alert Logic MDR，用户可以访问 PCI DSS、HIPAA、SOX/SARBANES-Oxley Act 以及美国国家标准与技术研究院 800-53 控件的合规性报告和集成控制。

• 警报逻辑通过其威胁映射功能在任何给定时刻提供对整个企业整个环境中发生的情况的实时可见性。它还为网络中的每个系统提供 Web 流量和文件活动的整合视图。

• 警报逻辑 MDR 提供功能强大、可自定义的仪表板，允许用户随心所欲地查看其信息。此外，来自各种安全工具的所有警报都汇总在一起，为态势感知提供单一入口点。

CrowdSec

CrowdSec是一个开源和协作的IPS系统，提供“基于人群的网络安全套件”。他们的目标是通过依靠数据分析、统计算法、机器学习、人工智能、网络行为模型、异常检测和用户行为分析，使互联网更加安全。

社区共同努力改进其系统，并与社区的其他成员分享知识。CrowdSec的目标是让专家，系统管理员，DevOps和SecOps的每个人都能够轻松地为更好的保护系统抵御网络威胁做出贡献。CrowdSec的最终目标是通过人群的智慧提供安全保障。

CrowdSec功能

• AI/ML：CrowdSec将人类理解新信息的能力与机器实时处理大量数据的能力相结合，使用先进的算法和预测建模来检测新出现的模式，以免它们成为问题。

• 行为分析使用通过历史数据集创建的规则分析师来识别异常行为模式。

• CrowdSec控制台监控服务器安全。SecOps 可以查看入侵尝试，接收有关异常活动的警报，并获取有关 IP 地址的情报。

• CrowSec 代理 IDS 使用 IP 行为和信誉来保护暴露的服务。此外，IPS 会将任何攻击性 IP 列入黑名单，以保护用户的计算机。

定价：具有有限控制台选项的免费版本和付费企业版本。

SolarWinds Security Event Manager

SolarWinds Security Event Manager 更符合 SIEM 系統的資格。它收集有关所有网络活动的信息，检查其是否存在潜在的网络威胁，并通知 IT 人员帮助监视可疑活动。此外，SolarWinds 还会记录连接到网络的系统，识别与黑客模式匹配的连接，并向 IT 人员发出潜在的网络漏洞警报。

除了查明系统或服务器上发生未经授权的访问的位置外，SolarWinds 还可以通过跟踪内存中识别过去攻击或已知漏洞的指示器来识别恶意软件感染。

SolarWinds Security Event Manager 功能

• Solarwinds 主动响应功能使用网络传感器来检测网络入侵、分析数据、自动发现网络资产以及识别消耗的服务。

• SolarWinds SEM 中基于网络的 IDS 软件为用户提供全面的网络可见性和详细信息，以确保合规性。

• HIPAA、PCI DSS、SOX 和 ISO 的合规性报告。

• 通过从所有公司日志中实时统一和提取可操作数据，简化对恶意 IP、帐户和应用的攻击响应。

定价：安全事件管理器可通过订阅或永久许可获得，起价为 2，877 美元。

安全洋葱

Security Onion 是一个开源计算机软件项目，重点关注入侵检测、日志管理和网络安全监控。它运行在几个Linux操作系统上，如Debian或Ubuntu。它分析通过本地环回接口的流量。

实际上，Security Onion为Syslog服务器提供了各种工具，以通过其图形用户界面处理日志。此外，IDPS 还具有警报功能，可根据管理员在 Security Onion GUI 的“警报”选项卡中设置的过滤器生成警报。因此，该应用程序可以检测各种恶意活动，包括端口扫描、未经授权的访问尝试以及 DoS 攻击。

安全洋葱特点

• Security Onion 具有内置工具的本机 Web 界面，可供分析师对警报做出反应、将证据编入案例并监控网格性能。

• Elasticsearch，Logstash，Kibana，Suricata，Zeek（以前称为Bro），Wazuh，Stenographer，CyberChef和NetworkMiner是提供的一些第三方工具。

• 从Zeek，Suricata和其他工具收集网络事件，以实现全面的网络覆盖。

• Security Onion 支持多种基于主机的事件收集代理，包括 Wazuh、Beats 和 osquery