Vad är ett intrångsförebyggande system?
Ett intrångsförebyggande system (IPS) övervakar ett nätverks datapaket för misstänkt aktivitet och försöker vidta åtgärder med hjälp av specifika policyer. Det fungerar något som ett intrångsdetekteringssystem som innehåller en brandvägg för att förhindra attacker. Den skickar en varning till ett nätverk eller en systemadministratör när något misstänkt upptäcks, vilket gör att administratören kan välja en åtgärd att vidta när evenemanget inträffar. Intrusion Prevention Systems kan övervaka ett helt nätverk, trådlösa nätverksprotokoll, nätverksbeteende och en enda dators trafik. Varje IPS använder specifika detekteringsmetoder för att analysera risker.
Beroende på IPS -modellen och dess funktioner kan ett intrångsförebyggande system upptäcka olika säkerhetsbrott. Vissa kan upptäcka spridningen av skadlig programvara över ett nätverk, kopiering av stora filer mellan två system och användning av misstänkta aktiviteter som portskanning. Efter att IPS jämför problemet med sina säkerhetsregler loggar den varje händelse och dokumenterar evenemangetfrekvens. Om nätverksadministratören konfigurerade IPS för att utföra en specifik åtgärd baserad på incidenten, tar intrångsförebyggande systemet sedan den tilldelade åtgärden. En grundläggande varning skickas till administratören så att han eller hon kan svara på lämpligt sätt eller visa ytterligare information om IPS, om det behövs.
Det finns fyra allmänna typer av intrångsförebyggande system, inklusive nätverksbaserade, trådlösa, nätverksbeteendeanalys och värdbaserad. En nätverksbaserad IPS analyserar olika nätverksprotokoll och används vanligtvis på fjärråtkomstservrar, virtuella privata nätverksservrar och routrar. En trådlös IPS -klockor för misstänkta aktiviteter i trådlösa nätverk och letar också efter obehöriga trådlösa nätverk i ett område. Nätverksbeteendeanalys letar efter hot som kan ta ner ett nätverk eller sprida skadlig programvara och används vanligtvis med privata nätverk som ansluter till internet. En värd-Baserade IPS -arbeten på ett enda system och letar efter konstiga applikationsprocesser, ovanlig nätverkstrafik till värden, modifiering av filsystem och konfigurationsändringar.
Det finns tre detekteringsmetoder som ett intrångsförebyggande system kan använda, och många system använder en kombination av alla tre. Signaturbaserad detektion fungerar bra för att upptäcka kända hot genom att jämföra en händelse med en redan dokumenterad signatur för att avgöra om ett säkerhetsbrott har inträffat. Anomalibaserad detektion letar efter aktivitet som är onormal jämfört med de normala händelserna som inträffar på ett system eller nätverk och är särskilt användbart för att identifiera okända hot. Statligt protokollanalys letar efter aktivitet som strider mot hur ett specifikt protokoll normalt används.