Vad är ett system för förebyggande av intrång?
Ett IPS-system (IPS) övervakar nätverkets datapaket för misstänkt aktivitet och försöker vidta åtgärder med hjälp av specifika policyer. Det fungerar något som ett intrångsdetekteringssystem som innehåller en brandvägg för att förhindra attacker. Det skickar en varning till ett nätverk eller systemadministratör när något misstänkt upptäcks, vilket gör att administratören kan välja en åtgärd som ska vidtas när händelsen inträffar. Inbrottsförebyggande system kan övervaka ett helt nätverk, trådlösa nätverksprotokoll, nätverksbeteende och en dators trafik. Varje IPS använder specifika detekteringsmetoder för att analysera risker.
Beroende på IPS-modellen och dess funktioner kan ett system för förebyggande av intrång upptäcka olika säkerhetsbrott. Vissa kan upptäcka spridningen av skadlig kod över ett nätverk, kopiering av stora filer mellan två system och användningen av misstänkta aktiviteter som hamnskanning. När IPS har jämfört problemet med sina säkerhetsregler loggar den varje händelse och dokumenterar händelsens frekvens. Om nätverksadministratören konfigurerade IPS för att utföra en specifik åtgärd baserad på händelsen, vidtar intrångsförebyggande systemet den tilldelade åtgärden. En grundvarning skickas till administratören så att han eller hon kan svara på lämpligt sätt eller se ytterligare information om IPS, om det behövs.
Det finns fyra allmänna typer av system för förebyggande av intrång, inklusive nätverksbaserad, trådlös, nätverksbeteende-analys och värdbaserad. Ett nätverksbaserat IPS analyserar olika nätverksprotokoll och används ofta på fjärråtkomstserver, virtuella privata nätverksservrar och routrar. En trådlös IPS tittar på misstänkta aktiviteter i trådlösa nätverk och letar också efter obehöriga trådlösa nätverk i ett område. Nätverksbeteendeanalys letar efter hot som kan ta ner ett nätverk eller sprida skadlig programvara och används vanligtvis med privata nätverk som ansluter till Internet. En värdbaserad IPS fungerar på ett enda system och letar efter konstiga applikationsprocesser, ovanlig nätverkstrafik till värden, filsystemändring och konfigurationsändringar.
Det finns tre detekteringsmetoder som ett system för förebyggande av intrång kan använda, och många system använder en kombination av alla tre. Signaturbaserad detektion fungerar bra för att upptäcka kända hot genom att jämföra en händelse med en redan dokumenterad signatur för att avgöra om ett säkerhetsbrott har inträffat. Anomalibaserad detektion letar efter aktivitet som är onormal jämfört med de normala händelserna som inträffar i ett system eller nätverk och är särskilt användbart för att identifiera okända hot. Statlig protokollanalys letar efter aktivitet som strider mot hur ett specifikt protokoll normalt används.