DPI和DFI的对比

1，DFI仅对流量行为分析，只能对应用类型进行笼统的分类，无法做到精细的识别

2，如果流量进行加密的话，DPI可能在没有解密的情况无法进行识别，但是DFI不受影响

IPS（入侵防御）

IDS --- 入侵检测 --- 侧重于风险管理的设备 --- 仅能进行监控，但是不能直接处理。--- 存在

滞后性

早期IDS的误报率较高

其优点在于部署灵活，可以旁路部署，对原网络没有任何影响

IPS --- 入侵防御 ---- 侧重于风险控制的设备 --- 可以在发现风险的同时，处理问题。 ---- 需

要串联部署在网络中

IPS设备优势：

1，实时阻断攻击；

2，深层防护 --- 可以深入到应用层，进行精准的威胁识别；

3，全方位的防护

4，内外兼防

5，不断升级，精准防护

入侵检测的方法：

1，异常检测 --- 这种检测时基于一个假定，我们认为用户的行为是遵循一致性原则的

2，误用检测 --- 创建一个异常行为特征库，将入侵行为的特征记录下来，记录签名，之

后，根据到达的流量特征和签名进行比如，判断是否存在异常；

签名 --- 将异常行为的特征记录下来进行HSAH，之后，正常流量过来，也提取其特征

进行比对。

预定义签名 --- 设备上自身携带的有特征库，这个特征库需要购买liense（许可证）后

才可获取。（如果购买了liense后，可以对接华为的安全中心多特征库进行更新）

自定义签名 --- 网络管理员可以根据自定义的需求来创建威胁签名，

可以执行的动作 --- 放行