什麼是入侵防禦系統 - IPS

簡而言之,入侵防禦系統(IPS),也稱為入侵偵測防禦系統(IDPS),是一種監視網路是否存在試圖利用已知脆弱性的惡意活動的技術。

入侵防禦系統的主要功能是識別任何可疑活動,並偵測並允許 (IDS) 或阻止 (IPS) 威脅。該嘗試會被記錄下來並報告給網路管理員或安全營運中心 (SOC)工作人員。

Get a Personal Firewall Demo Miercom 2024 NGFW 安全基準

什麼是 IPS

為什麼要使用入侵防禦系統?

IPS技術可以偵測或阻止暴力攻擊、拒絕服務(DoS)攻擊和脆弱性攻擊等網路安全攻擊。脆弱性是軟體系統中的弱點,而漏洞利用是利用脆弱性來獲得系統控制權的攻擊。當漏洞被宣佈時,攻擊者通常有機會在應用安全修補程式之前利用該脆弱性。在這些情況下可以使用入侵防禦系統來快速阻止這些攻擊。

 

由於 IPS 技術監控封包流程,因此它們也可以用於強制使用安全通訊協定,並拒絕使用不安全通訊協定,例如舊版 SSL 或使用弱密碼的通訊協定。

入侵防禦系統如何運作?

IPS 技術可在其部署位置存取資料包,無論是作為網路入侵偵測系統 (NIDS) 或作為主機入侵偵測系統 (HIDS)。Network IPS 具有整個網路的更大視圖,可以在線上部署在網路中,也可以離線部署到網絡,作為從網路 TAP 或 SPAN 連接埠接收封包的被動感測器。

使用的檢測方法可能是基於簽名或異常的。 預定義簽章是眾所周知的網路攻擊模式。IPS 會將封包流與簽名進行比較,以查看是否有模式匹配。 以異常為基礎的入侵偵測系統使用啟發技術來識別威脅,例如將流量樣本與已知的基準線進行比較。

IDS 和 IPS 有什麼區別?

該技術的早期實作是以偵測模式部署在專用安全設備上。 隨著技術的成熟並進入整合次世代防火牆或UTM裝置,預設操作被設定為防止惡意流量

 

在某些情況下,偵測、接受或防止流量的決定是根據對特定 IPS 保護的信心而定。 當對 IPS 保護的信心較低時,那麼出現假陽性的可能性更高。 假陽性是當 IDS 將活動識別為攻擊,但活動是可接受的行為時。 因此,許多 IPS 技術還具有從攻擊事件中捕獲數據包序列的能力。 然後可以分析這些,以確定是否存在實際威脅,並進一步改善 IPS 保護。

×
  反映意見
本網站使用cookies來實現其功能以及分析和行銷目的。 繼續使用本網站即表示您同意使用cookies 。 欲了解更多信息,請閱讀我們的cookies聲明