um sistema de prevenção de intrusões (IPS) é uma tecnologia de segurança da rede/prevenção de ameaças que examina os fluxos de tráfego da rede para detectar e prevenir a exploração de vulnerabilidades. Vulnerability exploits usually come in the form of malicious inputs to a target application or service that attackers use to interrupt and gain control of an application or machine., Após uma exploração bem sucedida, o atacante pode desativar o aplicativo alvo (resultando em um estado de negação de serviço), ou pode potencialmente acessar todos os direitos e permissões disponíveis para a aplicação comprometida.

prevenção

os IPS muitas vezes fica diretamente atrás da firewall e fornece uma camada complementar de análise que seleciona negativamente para conteúdo perigoso., Ao contrário de seu antecessor, o sistema de Detecção De intrusão (IDS)—que é um sistema passivo que verifica o tráfego e reporta sobre ameaças—o IPS é colocado em linha (no caminho de comunicação direta entre fonte e destino), analisando ativamente e tomando ações automatizadas em todos os fluxos de tráfego que entram na rede., Especificamente, estas ações incluem:

  • a Enviar um alarme para o administrador (como seria visto em um IDS)
  • Descartar os pacotes mal-intencionados
  • Bloqueio do tráfego do endereço de origem
  • Redefinir a conexão

texto do componente de segurança, o IPS deve trabalhar de forma eficiente para evitar a degradação do desempenho da rede. Deve também funcionar rapidamente porque as façanhas podem acontecer em tempo quase real. Os PI também devem detectar e responder com precisão, de modo a eliminar ameaças e falsos positivos (pacotes legítimos mal interpretados como ameaças).,

Detection

The IPS has a number of detection methods for finding exploits, but signature-based detection and statistical anomaly-based detection are the two dominant mechanisms.

a detecção baseada em Assinaturas é baseada em um dicionário de padrões (ou assinaturas) unicamente identificáveis no código de cada exploração. Como um exploit é descoberto, sua assinatura é gravada e armazenada em um dicionário de assinaturas em crescimento contínuo. A detecção de assinaturas para PI divide-se em dois tipos:

  1. 1., Assinaturas de exploração-face identificam façanhas individuais desencadeando sobre os padrões únicos de uma tentativa de exploração particular. Os IPS podem identificar façanhas específicas, encontrando uma correspondência com uma assinatura explorada no fluxo de tráfego
  2. 2. As assinaturas que enfrentam a vulnerabilidade são assinaturas mais amplas que visam a vulnerabilidade subjacente no sistema que está sendo alvo. Estas assinaturas permitem que as redes sejam protegidas de variantes de uma exploração que pode não ter sido diretamente observada na natureza, mas também aumentam o risco de falsos positivos.,

a detecção estatística de anomalias recolhe amostras do tráfego de rede aleatoriamente e compara-as com um nível de desempenho de base pré-calculado. Quando a amostra da atividade de tráfego de rede está fora dos parâmetros de desempenho de base, os pi tomam medidas para lidar com a situação.

IPS foi originalmente construído e lançado como um dispositivo autônomo em meados da década de 2000., Isto, no entanto, foi no advento das implementações de hoje, que são agora comumente integrados em soluções unificadas de gestão de ameaças (UTM) (para pequenas e médias empresas) e firewalls de próxima geração (a nível de empresa).