入侵防御系统也称为入侵检测和防御系统。它是一个网络安全应用程序, 它监视网络或系统活动中是否存在恶意活动。入侵防御系统的主要功能是识别恶意活动, 收集有关该活动的信息, 进行报告并尝试阻止或阻止它。
入侵防御系统被认为是对入侵检测系统(IDS)因为IPS和IDS都为恶意活动而操作网络流量和系统活动。
IPS通常会记录与观察到的事件有关的信息, 通知安全管理员重要的观察到的事件并生成报告。许多IPS还可以通过尝试阻止成功检测到的威胁来做出响应。他们使用各种响应技术, 其中包括IPS阻止攻击本身, 更改安全环境或更改攻击的内容。
入侵防御系统(IPS)的分类:
入侵防御系统(IPS)分为4种类型:
- 基于网络的入侵防御系统(NIPS):
它通过分析协议活动来监视整个网络中的可疑流量。 - 无线入侵防御系统(WIPS):
它通过分析无线网络协议来监视无线网络中的可疑流量。 - 网络行为分析(NBA):
它检查网络流量, 以识别产生异常流量的威胁, 例如分布式拒绝服务攻击, 特定形式的恶意软件和违反策略的行为。 - 基于主机的入侵防御系统(HIPS):
它是一个内置软件包, 可通过扫描主机中发生的事件来操作单个主机以进行可疑活动。
入侵防御系统(IPS)的检测方法:
- 基于签名的检测:
基于签名的IDS在网络中操作数据包, 并与称为签名的预先构建和预定攻击模式进行比较。 - 基于统计异常的检测:
基于异常的IDS监视网络流量, 并将其与已建立的基准进行比较。基线将确定该网络的正常情况以及所使用的协议。但是, 如果未智能配置基线, 则可能会发出错误警报。 - 状态协议分析检测:
该IDS方法通过将观察到的事件与公认的无害活动定义的预配置文件进行比较来识别所声明的协议的差异。
IPS与IDS的比较:
入侵防御系统(IPS)与入侵检测系统(IDS)之间的主要区别是:
- 入侵防御系统串联放置, 能够主动预防或阻止被检测到的入侵。
- IPS可以采取以下措施:发送警报, 丢弃检测到的恶意数据包, 重置连接或阻止来自有害IP地址的流量。
- IPS还可以纠正循环冗余校验(CRC)错误, 对数据包流进行碎片整理, 减轻TCP排序问题并清理不必要的传输和网络层选项。
