概念：

产品

入侵防御系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

是电脑网络安全设施，是对防病毒软件（Antivirus Programs）和防火墙（Packet Filter, Application Gateway）的补充。

入侵检测系统（intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

IDS主要针对已发生的攻击事件或异常行为进行处理，属于被动防护。

IDS是计算机的监视系统，它通过实时监视系统，一旦发现异常情况就发出警告。

不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。

IDS应当挂接在所有所关注流量都必须流经的链路上。

IETF将一个入侵检测系统分为四个组件：

提供一项或多项安全功能，同时将多种安全特性集成于一个硬件设备里，形成标准的统一威胁管理平台。

降低了成本UTM将多个安全设备的功能集于一身，大大降低了硬件成本、人员成本、时间成本。

降低工作强度UTM提供了以往多种产品的功能，并且只要插接在网络上就可以完成基本的安全防御功能，大大降低了安装、配置、运维的工作强度。

降低技术复杂度UTM提供了一体化管理方式，降低了掌握和管理各种安全功能的难度以及用户误操作的可能，使安全管理人员可以通过单一设备集中进行安全防御，而不需要拥有多个单一功能的设备，每个设备都需要人去熟悉、关注和支持。对于没有专业信息安全人员及技术力量相对薄弱的组织来说，使用UTM产品可以提高这些组织应用信息安全设施的质量。

抗风险能力降低虽然UTM提供了通过单一设备管理，实现多种安全功能的能力，同时也引入了一个不可避免的问题——单点故障，一旦该UTM设备出现问题，将导致所有的安全防御措施失效。UTM设备的安全漏洞也会造成相当严重的损失。

内部防御薄弱由于UTM的设计原则违背了深度防御原则，虽然UTM在防御外部威胁非常有效，但面对内部威胁就无法发挥作用了。然而，造成组织信息资产损失的威胁大部分来自于组织内部，所以以网关型防御为主的UTM设备，目前尚不是解决安全问题的灵丹妙药。

单一防御功能较弱UTM本质上是将防病毒、入侵检测和防火墙等N个网络安全产品功能集中于一个设备中，必然导致每一个安全功能只能获得N分之一的处理能力和N分之一的内存，因此每一个功能都较弱。

性能和稳定性尽管使用了很多专门的软硬件技术用于提供足够的性能，但是在同样的空间下，实现更高的性能输出，对系统稳定性造成的影响不可避免。目前，UTM安全设备的稳定程度与传统安全设备相比，仍需不断提高，且任重道远。

具备的基本功能：

其他选配功能：

面向业务的统一安全管理

全面的日志采集

智能化安全事件关联分析

全面的脆弱性管理

主动化的预警管理

主动化的网络威胁情报利用

基于风险矩阵的量化安全风险评估

指标化宏观态势感知

多样的安全响应管理

丰富灵活的报表报告

流安全分析

知识管理

用户管理

自身系统管理

一体化的安全管控界面

SIEM软件收集并聚合公司所有技术基础设施所产生的日志数据，数据来源从主机系统及应用，到防火墙及杀软过滤器之类网络和安全设备都有。收集到数据后，SIEM软件就开始识别并分类事件，对事件进行分析。

产出安全相关事件的报告，比如成功/失败的登录、恶意软件活动和其他可能的恶意活动。

如果分析表明某活动违反了预定义的规则集，有潜在的安全问题，就发出警报。