Un sistem de prevenire a intruziunilor (IPS) este o tehnologie de securitate a rețelei/prevenire a amenințărilor care examinează fluxurile de trafic în rețea pentru a detecta și preveni exploatările vulnerabilității. Exploatările de vulnerabilitate vin de obicei sub forma unor intrări rău intenționate către o aplicație sau serviciu țintă pe care atacatorii le folosesc pentru a întrerupe și a obține controlul asupra unei aplicații sau a unei mașini., În urma unei exploatări reușite, atacatorul poate dezactiva aplicația țintă (rezultând într-o stare de refuz de serviciu) sau poate avea acces la toate drepturile și permisiunile disponibile pentru aplicația compromisă.IPS se află adesea direct în spatele firewall-ului și oferă un strat complementar de analiză care selectează negativ conținutul periculos., Spre deosebire de predecesorul său, sistemul de detectare a intruziunilor (IDS)—care este un sistem pasiv care scanează traficul și raportează despre amenințări—IPS este plasat inline (în calea de comunicare directă între sursă și destinație), analizând activ și luând acțiuni automate asupra tuturor fluxurilor de trafic care intră în rețea., În mod special, aceste acțiuni includ:

  • Trimite o alarmă către administrator (cum ar fi văzut într-un IDS)
  • Scade malware pachete
  • Blocarea traficului de la adresa sursă
  • Resetarea conexiunii

Ca o linie de componenta de securitate, ip-urile trebuie să funcționeze eficient pentru a evita degradarea performanței rețelei. De asemenea, trebuie să funcționeze rapid, deoarece exploatările se pot întâmpla aproape în timp real. IP-urile trebuie, de asemenea, să detecteze și să răspundă cu exactitate, astfel încât să elimine amenințările și falsele pozitive (pachetele legitime interpretate greșit ca amenințări).,

detecție

IPS are o serie de metode de detecție pentru găsirea exploatărilor, dar detectarea bazată pe semnătură și detectarea statistică bazată pe anomalii sunt cele două mecanisme dominante.detectarea bazată pe semnături se bazează pe un dicționar de modele (sau semnături) identificabile în mod unic în codul fiecărui exploit. Pe măsură ce este descoperit un exploit, semnătura sa este înregistrată și stocată într-un dicționar de semnături în continuă creștere. Detectarea semnăturii pentru IP-uri se împarte în două tipuri:

  1. 1., Exploit-facing semnături identifica exploateaza individuale prin declanșarea pe modele unice de o anumită încercare de a exploata. IP – urile pot identifica exploatările specifice găsind o potrivire cu o semnătură orientată spre exploatare în fluxul de trafic
  2. 2. Semnăturile care se confruntă cu vulnerabilitatea sunt semnături mai largi care vizează vulnerabilitatea care stă la baza sistemului vizat. Aceste semnături permit rețelelor să fie protejate de variantele unui exploit care poate să nu fi fost observat direct în sălbăticie, dar, de asemenea, ridică riscul de fals pozitive.,

detectarea statistică a anomaliilor ia eșantioane de trafic de rețea la întâmplare și le compară cu un nivel de performanță de bază pre-calculat. Atunci când eșantionul de activitate a traficului de rețea se află în afara parametrilor performanței de bază, IPS ia măsuri pentru a gestiona situația.IPS a fost inițial construit și lansat ca dispozitiv independent la mijlocul anilor 2000., Cu toate acestea, acest lucru a fost în apariția implementărilor de astăzi, care sunt acum integrate în mod obișnuit în soluțiile Unified Threat Management (UTM) (pentru companiile mici și mijlocii) și firewall-uri de generație următoare (la nivel de întreprindere).