un système de prévention des intrusions (IPS) est une technologie de prévention des menaces / sécurité réseau qui examine les flux de trafic réseau pour détecter et prévenir les exploits de vulnérabilité. Les attaques de vulnérabilité se présentent généralement sous la forme d’entrées malveillantes vers une application ou un service cible que les attaquants utilisent pour interrompre et prendre le contrôle d’une application ou d’une machine., Après un exploit réussi, l’attaquant peut désactiver l’application cible (entraînant un État de déni de service), ou peut potentiellement accéder à tous les droits et autorisations disponibles pour l’application compromise.

prévention

L’IPS se trouve souvent directement derrière le pare-feu et fournit une couche d’analyse complémentaire qui sélectionne négativement le contenu dangereux., Contrairement à son prédécesseur, le système de détection D’Intrusion (IDS)—qui est un système passif qui analyse le trafic et signale les menaces—L’IPS est placé en ligne (dans le chemin de communication direct entre la source et la destination), analysant activement et prenant des actions automatisées sur tous les flux de trafic qui entrent dans le réseau., Plus précisément, ces actions incluent:

  • envoi d’une alarme à l’administrateur (comme on le verrait dans un IDS)
  • abandon des paquets malveillants
  • blocage du trafic de L’adresse source
  • réinitialisation de la connexion

en tant que composant de sécurité en ligne, les adresses IP doivent fonctionner efficacement pour éviter Il doit également fonctionner rapidement car les exploits peuvent se produire en temps quasi réel. Les adresses IP doivent également détecter et répondre avec précision, afin d’éliminer les menaces et les faux positifs (paquets légitimes mal lus en tant que menaces).,

détection

L’IPS possède un certain nombre de méthodes de détection pour trouver des exploits, mais la détection basée sur la signature et la détection basée sur les anomalies statistiques sont les deux mécanismes dominants.

la détection basée sur les signatures est basée sur un dictionnaire de modèles (ou signatures) identifiables de manière unique dans le code de chaque exploit. À mesure qu’un exploit est découvert, sa signature est enregistrée et stockée dans un dictionnaire de signatures en croissance continue. La détection de Signature pour IPS se décompose en deux types:

  1. 1., Les signatures d’Exploit identifient les exploits individuels en se déclenchant sur les modèles uniques d’une tentative d’exploit particulière. Les adresses IP peuvent identifier des exploits spécifiques en trouvant une correspondance avec une signature orientée exploit dans le flux de trafic
  2. 2. Les signatures de vulnérabilité sont des signatures plus larges qui ciblent la vulnérabilité sous-jacente du système ciblé. Ces signatures permettent de protéger les réseaux de variantes d’un exploit qui n’ont pas été directement observés dans la nature, mais aussi augmenter le risque de faux positifs.,

la détection D’anomalies statistiques prend des échantillons de trafic réseau au hasard et les compare à un niveau de performance de base pré-calculé. Lorsque l’échantillon d’activité de trafic réseau est en dehors des paramètres de performance de base, L’IPS prend des mesures pour gérer la situation.

IPS a été initialement construit et publié en tant que périphérique autonome au milieu des années 2000., Cependant, c’était dans l’avènement des implémentations d’aujourd’hui, qui sont maintenant couramment intégrées dans les solutions de gestion unifiée des menaces (UTM) (pour les petites et Moyennes Entreprises) et les pare-feu de nouvelle génération (au niveau de l’entreprise).