入侵防御系统 (IPS)
入侵防御系统也称为入侵检测和防御系统。它是一种网络安全应用程序,用于监控网络或系统活动中的恶意活动。入侵防御系统的主要功能是识别恶意活动、收集有关此活动的信息、报告并尝试阻止或阻止它。
入侵防御系统被认为是入侵检测系统 (IDS) 的增强,因为 IPS 和 IDS 都针对恶意活动运行网络流量和系统活动。
IPS 通常会记录与观察到的事件相关的信息,将观察到的重要事件通知安全管理员并生成报告。许多 IPS 还可以通过尝试阻止其成功来响应检测到的威胁。他们使用各种响应技术,包括 IPS 阻止攻击本身、改变安全环境或改变攻击的内容。
入侵防御系统(IPS)的分类:
入侵防御系统 (IPS) 分为 4 种类型:
- 基于网络的入侵防御系统(NIPS):
它通过分析协议活动来监控整个网络的可疑流量。 - 无线入侵防御系统(WIPS):
它通过分析无线网络协议来监控无线网络中的可疑流量。 - 网络行为分析(NBA):
它检查网络流量以识别产生异常流量的威胁,例如分布式拒绝服务攻击、特定形式的恶意软件和策略违规。 - 基于主机的入侵防御系统 (HIPS):
它是一个内置软件包,通过扫描主机内发生的事件来操作单个主机以进行可疑活动。
入侵防御系统 (IPS) 技术比较:
下表显示了各种 IPS 技术:
IPS Technology Type | Types of Malicious Activity Detected | Scope per Sensor | Strengths |
Network-Based | Network, transport, and application TCP/IP layer activity | Multiple network subnets and groups of hosts | Only IDPS which can analyze the widest range of application protocols; |
Wireless | Wireless protocol activity; unauthorized wireless local area networks (WLAN) in use | Multiple WLANs and groups of wireless clients | Only IDPS able to predict wireless protocol activity |
NBA | Network, transport, and application TCP/IP layer activity that causes anomalous network flows | Multiple network subnets and groups of hosts | Typically more effective than the others at identifying reconnaissance scanning and DoS attacks, and at reconstructing major malware infections |
Host-Based | Host application and operating system (OS) activity; network, transport, and application TCP/IP layer activity | Individual host | Can analyze activity that was transferred in end-to-end encrypted communications |
入侵防御系统(IPS)的检测方法:
- 基于签名的检测:
基于签名的 IDS 在网络中操作数据包,并与称为签名的预先构建和预定的攻击模式进行比较。 - 基于统计异常的检测:
基于异常的 IDS 监控网络流量并将其与已建立的基线进行比较。基线将确定该网络的正常情况以及使用的协议。但是,如果基线没有智能配置,它可能会引发误报。 - 有状态协议分析检测:
这种 IDS 方法通过将观察到的事件与普遍接受的无害活动定义的预构建配置文件进行比较来识别协议的分歧。
IPS与IDS的比较:
入侵防御系统 (IPS) 与入侵检测系统 (IDS) 之间的主要区别是:
- 入侵防御系统串联放置,能够主动阻止或阻止检测到的入侵。
- IPS 可以采取诸如发送警报、丢弃检测到的恶意数据包、重置连接或阻止来自违规 IP 地址的流量等操作。
- IPS 还可以纠正循环冗余校验 (CRC) 错误、对数据包流进行碎片整理、缓解 TCP 排序问题并清除不需要的传输和网络层选项。