入侵防御系统专栏

入侵防御系统(IPS),也称为入侵检测和防御系统(IDPS),是监视网络或系统活动中是否存在恶意活动的网络安全设备。入侵防御系统的主要功能是识别恶意活动,记录有关该活动的信息,进行报告并尝试阻止或阻止它。

入侵防御系统被认为是入侵检测系统的扩展,因为它们都监视网络流量和/或系统活动中是否存在恶意活动。与入侵检测系统不同,主要区别在于入侵防御系统是串联放置的,能够主动预防或阻止被检测到的入侵。入侵防御系统可以采取诸如发送警报,丢弃检测到的恶意数据包,重置连接或阻止来自有问题IP地址的流量之类的操作。入侵防御系统还可以纠正循环冗余校验(CRC)错误,对数据包流进行碎片整理,减轻TCP排序问题以及清理不必要的内容传输和网络层选项。

入侵防御系统

大多数入侵防御系统使用以下三种检测方法之一:

  1. 基于签名的检测:基于签名的IDS监视网络中的数据包,并与称为签名的预配置和预定攻击模式进行比较。
  2. 基于统计异常的检测:基于异常的IDS将监视网络流量并将其与已建立的基准进行比较。基线将确定该网络的“正常”状态–通常使用哪种带宽以及使用哪些协议。但是,如果未对基线进行智能配置,则可能会针对带宽的合理使用发出“误报”警报。
  3. 状态协议分析检测:该方法通过将观察到的事件与“公认的良性活动定义的预定配置文件”进行比较,从而识别协议状态的偏差。

入侵防御系统可以分为四种不同的类型:

  1. 基于网络的入侵防御系统(NIPS):通过分析协议活动来监视整个网络的可疑流量。
  2. 无线入侵防御系统(WIPS):通过分析无线网络协议来监视无线网络中的可疑流量。
  3. 网络行为分析(NBA):检查网络流量,以识别产生异常流量的威胁,例如分布式拒绝服务(DDoS)攻击,某些形式的恶意软件和违反政策的行为。
  4. 基于主机的入侵防御系统(HIPS):已安装的软件包,可通过分析该主机中发生的事件来监视单个主机的可疑活动。