web-dev-qa-db-ja.com

ウイルス対策とIPSの違いは何ですか?

私が理解しているように、侵入保護システム(IPS)は異常な動作を検出し、プロトコルの異常を検出し、マルウェア、DDoSなどをブロックするシグネチャフィルタリングを実行します。アンチウイルスはトラフィックもスキャンし、マルウェアをブロックします。

そのとき私は混乱しています-違いは何ですか?

IPS Checkpointが最終的にアンチウイルス署名をIPSのみに追加するようなものですか、それともまったく新しいソフトウェアを使用していますか?

Suricataは、CLAMAV署名を追加した場合、IPSおよびウイルス対策として機能しますか?

firewallsantivirusidsantimalware
5
sfg2k

AVはソフトウェアに関連付けられていますが、これは、IPSがファイアウォールに関連付けられているのが一般的であるという考え方です。

私が管理しているMcAfee環境では、IPSを使用してファイアウォールトラフィックをブロック/許可しています。そのため、既知で予想されているものを使用して、残りをブロックします。IPS =また、どのアプリケーションがどのポートを介してどこに通信しているかを調べます。

一方、アンチウイルスは、デバイス上で実行したいソフトウェアを調べ、既知の不正な実行可能ファイルのリストと比較し、ヒューリスティックスとともに、既知の不正な動作のリストと比較します。したがって、AVは暗号化動作をブロックすることでCryptoLockerを停止し、IPSは(理論的には)C&Cサーバーへのトラフィックをブロックすることでブロックします。

私はチェックポイントに詳しくないので、その質問への回答をここの他の人に延期します。

4
baldPrussian

1999年ではないため、どちらも存在しません。2019年です。

  • AVは少なくとも2013年までにEDRに置き換えられました
  • IPSは2014年にUBAに置き換えられました

探しているのは、Endpoint Detection and ResponseプラットフォームやUser Behavior Analyticsプラットフォームです。どちらも、エンドポイントとネットワークデータの組み合わせで機能しますが、資産とインジケーターの検索機能も提供します。

古いツールは、この新しいパラダイムに適応するのに苦労しています。多くの場合、直接的な相関関係はありません。 SuricataがUBAである、またはClamAVがEDRであるとは言えません。彼らはそうではなく、おそらくそうなることはないでしょう。

0
atdre