侵入防止システムとは何ですか?
侵入防止システム(IPS)は、疑わしいアクティビティのためにネットワークのデータパケットを監視し、特定のポリシーを使用してアクションを実行しようとします。攻撃を防ぐためのファイアウォールを含む侵入検知システムのように機能します。疑わしいものが検出されたときにネットワークまたはシステム管理者にアラートを送信し、管理者がイベントが発生したときに実行するアクションを選択できるようにします。侵入予防システムは、ネットワーク全体、ワイヤレスネットワークプロトコル、ネットワーク動作、単一のコンピューターのトラフィックを監視できます。各IPSは、特定の検出方法を使用してリスクを分析します。
IPSモデルとその機能に応じて、侵入防止システムはさまざまなセキュリティ侵害を検出できます。ネットワーク全体のマルウェアの拡散、2つのシステム間の大きなファイルのコピー、ポートスキャンなどの疑わしいアクティビティの使用を検出できる人もいます。 IPSが問題をセキュリティルールと比較した後、各イベントを記録し、イベントのドキュメントを記録します頻度。ネットワーク管理者がインシデントに基づいて特定のアクションを実行するようにIPSを構成した場合、侵入防止システムは割り当てられたアクションを実行します。管理者が適切に応答したり、必要に応じてIPSの追加情報を表示できるように、基本的なアラートが管理者に送信されます。
ネットワークベース、ワイヤレス、ネットワーク行動分析、ホストベースなど、4つの一般的な侵入予防システムがあります。ネットワークベースのIPSは、さまざまなネットワークプロトコルを分析し、リモートアクセスサーバー、仮想プライベートネットワークサーバー、およびルーターで一般的に使用されています。ワイヤレスIPSは、ワイヤレスネットワークでの疑わしいアクティビティを時計し、エリアで不正なワイヤレスネットワークを探します。ネットワークの動作分析は、ネットワークを削除したり、マルウェアを広めたりする可能性のある脅威を探し、インターネットに接続するプライベートネットワークで一般的に使用されます。ホスト - ベースのIPSは単一のシステムで動作し、奇妙なアプリケーションプロセス、ホストへの異常なネットワークトラフィック、ファイルシステムの変更、構成の変更を探します。
侵入防止システムが使用できる3つの検出方法があり、多くのシステムが3つすべての組み合わせを使用しています。署名ベースの検出は、イベントを既に文書化された署名と比較して、セキュリティ侵害が発生したかどうかを判断することにより、既知の脅威を検出するのに適しています。 Anomalyベースの検出は、システムまたはネットワークで発生する通常のイベントと比較して異常であり、未知の脅威を特定するのに特に役立つアクティビティを探します。ステートフルなプロトコル分析は、特定のプロトコルが通常どのように使用されるかに反するアクティビティを探します。