為什麼要使用入侵防禦系統?
IPS技術可以偵測或阻止暴力攻擊、拒絕服務(DoS)攻擊和脆弱性攻擊等網路安全攻擊。脆弱性是軟體系統中的弱點,而漏洞利用是利用脆弱性來獲得系統控制權的攻擊。當漏洞被宣佈時,攻擊者通常有機會在應用安全修補程式之前利用該脆弱性。在這些情況下可以使用入侵防禦系統來快速阻止這些攻擊。
由於 IPS 技術監控封包流程,因此它們也可以用於強制使用安全通訊協定,並拒絕使用不安全通訊協定,例如舊版 SSL 或使用弱密碼的通訊協定。
入侵防禦系統如何運作?
IPS 技術可在其部署位置存取資料包,無論是作為網路入侵偵測系統 (NIDS) 或作為主機入侵偵測系統 (HIDS)。Network IPS 具有整個網路的更大視圖,可以在線上部署在網路中,也可以離線部署到網絡,作為從網路 TAP 或 SPAN 連接埠接收封包的被動感測器。
使用的檢測方法可能是基於簽名或異常的。 預定義簽章是眾所周知的網路攻擊模式。IPS 會將封包流與簽名進行比較,以查看是否有模式匹配。 以異常為基礎的入侵偵測系統使用啟發技術來識別威脅,例如將流量樣本與已知的基準線進行比較。
IDS 和 IPS 有什麼區別?
該技術的早期實作是以偵測模式部署在專用安全設備上。 隨著技術的成熟並進入整合次世代防火牆或UTM裝置,預設操作被設定為防止惡意流量。
在某些情況下,偵測、接受或防止流量的決定是根據對特定 IPS 保護的信心而定。 當對 IPS 保護的信心較低時,那麼出現假陽性的可能性更高。 假陽性是當 IDS 將活動識別為攻擊,但活動是可接受的行為時。 因此,許多 IPS 技術還具有從攻擊事件中捕獲數據包序列的能力。 然後可以分析這些,以確定是否存在實際威脅,並進一步改善 IPS 保護。
反映意見