簡而言之,入侵防禦系統(IPS),也稱為入侵偵測防禦系統(IDPS),是一種監視網路是否存在試圖利用已知脆弱性的惡意活動的技術。
入侵防禦系統的主要功能是識別任何可疑活動,並偵測並允許 (IDS) 或阻止 (IPS) 威脅。該嘗試會被記錄下來並報告給網路管理員或安全營運中心 (SOC)工作人員。
IPS技術可以偵測或阻止暴力攻擊、拒絕服務(DoS)攻擊和脆弱性攻擊等網路安全攻擊。脆弱性是軟體系統中的弱點,而漏洞利用是利用脆弱性來獲得系統控制權的攻擊。當漏洞被宣佈時,攻擊者通常有機會在應用安全修補程式之前利用該脆弱性。在這些情況下可以使用入侵防禦系統來快速阻止這些攻擊。
由於 IPS 技術監控封包流程,因此它們也可以用於強制使用安全通訊協定,並拒絕使用不安全通訊協定,例如舊版 SSL 或使用弱密碼的通訊協定。
IPS 技術可在其部署位置存取資料包,無論是作為網路入侵偵測系統 (NIDS) 或作為主機入侵偵測系統 (HIDS)。Network IPS 具有整個網路的更大視圖,可以在線上部署在網路中,也可以離線部署到網絡,作為從網路 TAP 或 SPAN 連接埠接收封包的被動感測器。
使用的檢測方法可能是基於簽名或異常的。 預定義簽章是眾所周知的網路攻擊模式。IPS 會將封包流與簽名進行比較,以查看是否有模式匹配。 以異常為基礎的入侵偵測系統使用啟發技術來識別威脅,例如將流量樣本與已知的基準線進行比較。
反映意見