什么是入侵防御系统 – IPS

安全资讯 小布 748浏览 0评论

简而言之,入侵防御系统 (IPS),也称为入侵检测防御系统 (IDPS),是一种技术,可密切关注网络中是否有任何试图利用已知漏洞的恶意活动。入侵防御系统的主要功能是识别任何可疑活动,并检测并允许 (IDS) 或阻止 (IPS) 威胁。尝试记录并报告给网络管理员或安全运营中心 (SOC)工作人员。

为什么要使用入侵防御系统?

IPS 技术可以检测或防止网络安全攻击,例如蛮力攻击、 拒绝服务 (DoS) 攻击 和漏洞利用。漏洞是软件系统中的一个弱点,而漏洞利用是一种利用该漏洞来控制系统的攻击。当漏洞被公布时,攻击者通常有机会在应用安全补丁之前利用该漏洞。在这些情况下,可以使用入侵防御系统来快速阻止这些攻击。

 

由于 IPS 技术监视数据包流,因此它们还可用于强制使用安全协议并拒绝使用不安全协议,例如早期版本的 SSL 或使用弱密码的协议。

入侵防御系统如何工作?

IPS 技术可以访问部署它们的数据包,无论是作为网络入侵检测系统 (NIDS),还是作为主机入侵检测系统 (HIDS)。网络 IPS 具有整个网络的更大视图,可以在线部署在网络中,也可以作为从网络 TAP 或 SPAN 端口接收数据包的无源传感器离线部署到网络中。

所采用的检测方法可以是基于签名或异常的。预定义的签名是众所周知的网络攻击模式。IPS 将数据包流与签名进行比较,以查看是否存在模式匹配。基于异常的入侵检测系统使用启发式方法来识别威胁,例如将流量样本与已知基线进行比较。

IDS和IPS有什么区别?

该技术的早期实施以检测模式部署在专用安全设备上。随着该技术的成熟并转移到集成的 下一代防火墙 或 UTM 设备中,默认操作设置为防止恶意流量

 

在某些情况下,检测和接受或阻止流量的决定是基于对特定 IPS 保护的信心。当对 IPS 保护的置信度较低时,误报的可能性就较高。误报是指 IDS 将活动识别为攻击,但该活动是可接受的行为。为此,许多 IPS 技术还具有从攻击事件中捕获数据包序列的能力。然后可以对这些进行分析以确定是否存在实际威胁并进一步改进 IPS 保护。

转载请注明:布尔云安的博客 » 什么是入侵防御系统 – IPS

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址