침입 방지 시스템이란 무엇입니까?
침입 예방 시스템 (IPS)은 의심스러운 활동을 위해 네트워크의 데이터 패킷을 모니터링하고 특정 정책을 사용하여 조치를 취하려고합니다. 공격을 방지하기위한 방화벽을 포함하는 침입 탐지 시스템과 다소 작용합니다. 의심스러운 것이 감지 될 때 네트워크 또는 시스템 관리자에게 경고를 보냅니다. 관리자는 이벤트가 발생할 때 취할 조치를 선택할 수 있습니다. 침입 방지 시스템은 전체 네트워크, 무선 네트워크 프로토콜, 네트워크 동작 및 단일 컴퓨터 트래픽을 모니터링 할 수 있습니다. 각 IPS는 특정 탐지 방법을 사용하여 위험을 분석합니다.
IPS 모델과 그 기능에 따라 침입 예방 시스템은 다양한 보안 위반을 감지 할 수 있습니다. 일부는 네트워크 전체에 걸쳐 맬웨어의 스프레드, 두 시스템간에 큰 파일을 복사하고 포트 스캔과 같은 의심스러운 활동 사용을 감지 할 수 있습니다. IPS가 문제를 보안 규칙과 비교 한 후 각 이벤트를 기록하고 이벤트를 문서화합니다.빈도. 네트워크 관리자가 사건에 따라 특정 조치를 수행하도록 IPS를 구성한 경우 침입 방지 시스템은 할당 된 조치를 취합니다. 기본 경고는 관리자에게 전송되어 필요한 경우 적절하게 응답하거나 IPS에 대한 추가 정보를 볼 수 있습니다.
네트워크 기반, 무선, 네트워크 행동 분석 및 호스트 기반을 포함한 4 가지 유형의 침입 방지 시스템이 있습니다. 네트워크 기반 IPS는 다양한 네트워크 프로토콜을 분석하며 일반적으로 원격 액세스 서버, 가상 개인 네트워크 서버 및 라우터에서 사용됩니다. 무선 IPS는 무선 네트워크에서 의심스러운 활동을 시청하고 해당 지역의 무단 무선 네트워크를 찾습니다. 네트워크 동작 분석은 네트워크를 중단하거나 맬웨어를 스프레드 할 수있는 위협을 찾고 있으며 인터넷에 연결하는 개인 네트워크에서 일반적으로 사용됩니다. 호스트-기반 IPS 기반 IPS는 단일 시스템에서 작동하며 이상한 응용 프로그램 프로세스, 호스트에 대한 비정상적인 네트워크 트래픽, 파일 시스템 수정 및 구성 변경을 찾습니다.
.침입 방지 시스템이 사용할 수있는 세 가지 탐지 방법이 있으며 많은 시스템이 세 가지 모두의 조합을 사용합니다. 시그니처 기반 탐지는 이벤트를 이미 문서화 된 서명과 비교하여 보안 위반이 발생했는지 확인하여 알려진 위협을 감지하는 데 적합합니다. 이상 기반 탐지는 시스템이나 네트워크에서 발생하는 정상적인 사건과 비교할 때 비정상적인 활동을 찾고 있으며 알 수없는 위협을 식별하는 데 특히 유용합니다. Stateful Protocol Analysis는 특정 프로토콜이 일반적으로 사용되는 방식에 반대하는 활동을 찾습니다.