Що таке система запобігання вторгнень?

Система запобігання вторгнень (IPS) відстежує пакети даних в мережі на предмет підозрілої активності і намагається вжити заходів з використанням певних політик. Вона діє як система виявлення вторгнень, що включає міжмережевий екран для запобігання атак. Вона відправляє попередження мережевого або системного адміністратора при виявленні чого-небудь підозрілого, дозволяючи адміністратору вибрати заходів, яких треба вжити в разі виникнення будь-якого події. Системи запобігання вторгнень можуть контролювати всю мережу, протоколи бездротової мережі, поведінка мережі і трафік одного комп’ютера. Кожна IPS для аналізу ризиків використовує певні методи виявлення.
Залежно від моделі IPS і її функцій, система запобігання вторгнень може виявляти різні порушення безпеки. Деякі можуть виявити поширення шкідливих програм по мережі, копіювання великих файлів між двома системами і використання підозрілих дій, таких як сканування портів. Після того, як IPS порівнює проблему з правилами безпеки, вона реєструє кожну подію і документує частоту цієї події. Якщо адміністратор налаштував IPS для виконання певної дії на основі інциденту, система запобігання вторгнень потім виконує призначений дію. Базове попередження відправляється адміністратору, щоб він або вона могли відповісти відповідним чином або переглянути додаткову інформацію про IPS, якщо це необхідно.

Існує чотири основних типи систем запобігання вторгнень, включаючи мережеві, бездротові, аналіз поведінки мережі та хост-системи. Мережевий IPS аналізує різні мережеві протоколи і зазвичай використовується на серверах віддаленого доступу, серверах віртуальної приватної мережі та маршрутизатори. Бездротова IPS відстежує підозрілі дії в бездротових мережах, а також шукає несанкціоновані бездротові мережі в регіоні. Аналіз поведінки мережі шукає загрози, які можуть знищити мережу або поширювати шкідливе ПЗ, і зазвичай використовується в приватних мережах, підключених до Інтернету. IPS на основі хоста працює в одній системі і шукає дивні процеси додатків, незвичайний мережевий трафік йде до хосту, зміни файлової системи і зміни конфігурації.

Існує три методи виявлення, які може використовувати система запобігання вторгнень, і багато систем використовують комбінацію всіх трьох. Виявлення на основі підпису добре працює для виявлення відомих загроз, порівнюючи подія з уже задокументованої підписом, щоб визначити, чи відбулося порушення безпеки. Виявлення на основі аномалій шукає аномальну активність в порівнянні зі звичайними подіями, що відбуваються в системі або мережі, і особливо корисна для виявлення невідомих загроз. Аналіз протоколу з відстеженням стану шукає дії, які суперечать тому, як зазвичай використовується певний протокол.

Ссылка на основную публикацию