《表1 IPS威胁日志：基于海量异构数据的网络安全态势感知研究》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《基于海量异构数据的网络安全态势感知研究》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

入侵防御设备（IPS）的主要工作在Layer 2至Layer 7层，对进来的数据包进行检测，确定这种数据包的真正用途．如果检测到攻击，IPS会根据设置好的防护策略进行阻断或重置连接，在这种攻击扩散到网络的其他地方之前阻止这个恶意连接．IPS一般都是嵌入部署，部署在出口火墙之后．IPS的日志主要有：威胁日志、设备系统日志、会话日志、NAT转换日志．IPS主要通过过滤器来防御威胁，对过滤器设置过滤规则，仅仅依靠自身的威胁日志很难做到精准防护，更多的时候需要和其他日志进行同步分析，尽量减少误报率．系统设备日志主要记录系统内部的日志以及管理员登录维护日志．威胁日志格式如表1所示．