Hvad er et indtrængen forebyggende system?
Et indtrængen forebyggende system (IPS) overvåger et netværks datapakker til mistænksom aktivitet og forsøger at gribe ind ved hjælp af specifikke politikker. Det fungerer noget som et indtrængningsdetekteringssystem, der inkluderer en firewall til at forhindre angreb. Den sender en advarsel til en netværks- eller systemadministrator, når der registreres noget mistænkeligt, så administratoren kan vælge en handling, der skal træffes, når begivenheden finder sted. Intrusionsforebyggende systemer kan overvåge et helt netværk, trådløse netværksprotokoller, netværksadfærd og en enkelt computers trafik. Hver IPS bruger specifikke detektionsmetoder til at analysere risici.
Afhængig af IPS -modellen og dens funktioner kan et indtrængen forebyggelsessystem registrere forskellige sikkerhedsbrud. Nogle kan registrere spredningen af malware på tværs af et netværk, kopiering af store filer mellem to systemer og brugen af mistænkelige aktiviteter såsom PORT -scanning. Efter IPS sammenligner problemet med sine sikkerhedsregler, logger det hver begivenhed og dokumenterer begivenhedensfrekvens. Hvis netværksadministratoren konfigurerede IPS til at udføre en bestemt handling baseret på hændelsen, tager indtrængen forebyggelsessystemet den tildelte handling. En grundlæggende advarsel sendes til administratoren, så han eller hun kan svare korrekt eller se yderligere oplysninger om IPS, hvis nødvendigt.
Der er fire generelle typer af indtrængen forebyggelse af systemer, herunder netværksbaseret, trådløs netværksadfærdsanalyse og værtsbaseret. En netværksbaseret IPS analyserer forskellige netværksprotokoller og bruges ofte på fjernadgangsservere, virtuelle private netværksservere og routere. En trådløs IPS holder øje med mistænkelige aktiviteter på trådløse netværk og ser også efter uautoriserede trådløse netværk i et område. Netværksadfærdsanalyse ser efter trusler, der kan nedtage et netværk eller sprede malware og bruges ofte med private netværk, der opretter forbindelse til internettet. En vært-Baseret IPS fungerer på et enkelt system og leder efter mærkelige applikationsprocesser, usædvanlig netværkstrafik til værten, filsystemmodifikation og konfigurationsændringer.
Der er tre detektionsmetoder, som et indtrængenforebyggelsessystem kan bruge, og mange systemer bruger en kombination af alle tre. Signaturbaseret detektion fungerer godt til at opdage kendte trusler ved at sammenligne en begivenhed med en allerede dokumenteret underskrift for at afgøre, om der er sket en sikkerhedsbrud. Anomaly-baseret detektion ser efter aktivitet, der er unormal sammenlignet med de normale begivenheder, der forekommer på et system eller et netværk, og er især nyttigt til at identificere ukendte trusler. Statlig protokolanalyse ser efter aktivitet, der går imod, hvordan en specifik protokol normalt bruges.