侵入防止システムとは何ですか?
侵入防止システム(IPS)は、ネットワークのデータパケットで不審なアクティビティを監視し、特定のポリシーを使用してアクションを実行しようとします。 攻撃を防ぐためのファイアウォールを含む侵入検知システムのように機能します。 不審なものが検出されると、ネットワーク管理者またはシステム管理者にアラートを送信し、管理者はイベント発生時に実行するアクションを選択できます。 侵入防止システムは、ネットワーク全体、ワイヤレスネットワークプロトコル、ネットワークの動作、および単一のコンピューターのトラフィックを監視できます。 各IPSは、特定の検出方法を使用してリスクを分析します。
IPSモデルとその機能に応じて、侵入防止システムはさまざまなセキュリティ侵害を検出できます。 ネットワーク全体にわたるマルウェアの拡散、2つのシステム間の大きなファイルのコピー、ポートスキャンなどの疑わしいアクティビティの使用を検出できるものもあります。 IPSは、問題をセキュリティルールと比較した後、各イベントを記録し、イベントの頻度を記録します。 ネットワーク管理者がインシデントに基づいて特定のアクションを実行するようにIPSを構成した場合、侵入防止システムは割り当てられたアクションを実行します。 基本的なアラートが管理者に送信されるため、管理者は必要に応じて適切に対応したり、IPSに関する追加情報を表示したりできます。
侵入防止システムには、ネットワークベース、ワイヤレス、ネットワーク動作分析、ホストベースなど、4つの一般的なタイプがあります。 ネットワークベースのIPSは、さまざまなネットワークプロトコルを分析し、リモートアクセスサーバー、仮想プライベートネットワークサーバー、およびルーターで一般的に使用されます。 ワイヤレスIPSは、ワイヤレスネットワーク上の疑わしいアクティビティを監視し、エリア内の不正なワイヤレスネットワークも探します。 ネットワーク動作分析は、ネットワークを破壊したりマルウェアを拡散したりする可能性のある脅威を探し、一般的にインターネットに接続するプライベートネットワークで使用されます。 ホストベースのIPSは単一のシステムで動作し、奇妙なアプリケーションプロセス、ホストへの異常なネットワークトラフィック、ファイルシステムの変更、構成の変更を探します。
侵入防止システムが使用できる検出方法は3つあり、多くのシステムは3つすべての組み合わせを使用します。 署名ベースの検出は、既知の脅威を検出するために、イベントを既に文書化された署名と比較して、セキュリティ違反が発生したかどうかを判断するのに適しています。 異常ベースの検出は、システムまたはネットワークで発生する通常のイベントと比較した場合に異常なアクティビティを検索し、未知の脅威を識別するのに特に役立ちます。 ステートフルプロトコル分析は、特定のプロトコルの通常の使用方法に反するアクティビティを探します。