入侵防禦系統,英文是 Intrusion Prevention System,簡稱IPS。它是一個可以監控是否有惡意行為存在於網路和系統的安全軟體,可以辨識、阻止、導出惡意活動。
講到入侵防禦系統,就會提到另一個和它很像的「入侵偵測系統」,兩者最大的差別在於:雖然他們都會偵測網路上的活動,但是入侵防禦系統還可以發出警訊、刪除垃圾封包、重新設定或是擋掉入侵IP,甚至還能清除不想要的網路層。
入侵防禦系統共分四項:
網路入侵防禦系統(Network-based Intrusion Prevention, NIP):藉由分析網路協定來監控所有可疑活動。
無線網路入侵防禦系統(Wireless Intrusion Prevention Systems, WIPS):分析無線網路協定來監控可疑活動。
網路行為分析(Network Behavior Analysis, NBA):測試網路以辨別是否有可疑流量,可以阻止「分散式拒絕服務攻擊」。
主機入侵防禦系統(Host-based Intrusion Prevention, HIPS):安裝在電腦上,監控所有在電腦上的程序活動。
因此,我們熟知的HIPS,其實只是入侵防禦系統中的其中一項!
至於入侵防禦系統偵測威脅的方法,大致上有三項:
特徵偵測(Signature-based Detection):事先寫入規則,網路上只要有和這些規則一樣的活動,就會被阻擋或是被隔離。
統計異常行為偵測(Statistical Anomaly-based Detection):假設網路流量有一個基準,當這個基準被確定後,系統就會擷取網路流量和基準比較,超過或是低於這樣的流量稱作「異常」,系統將對異常流量採取適當行動。
狀態協定分析與偵測(Stateful Protocol Analysis Detection):分析網路流量中特定協定是否符合應有的運作。
本文轉載於「I/O」。
留言列表
防毒軟體 (14)