入侵防御系統 (IPS) 是一種 網絡安全工具（可以是硬件設備或軟件），它持續監控網絡中的惡意活動，并在惡意活動發生時采取措施加以阻止，包括報告、阻止或丟棄它。它比入侵檢測系統 (IDS) 更先進，入侵檢測系統僅檢測惡意活動，但除了向管理員發出警報外，無法對其采取行動。入侵防御系統有時包含在 下一代防火墻 (NGFW) 或統一威脅管理 (UTM) 解決方案中。與許多網絡安全技術一樣，它們必須足夠強大，才能在不降低網絡性能的情況下掃描大量流量。

入侵防御系統如何工作？

入侵防御系統內嵌在源和目標之間的網絡流量流中，通常位于防火墻后面。入侵防御系統使用多種技術來識別威脅：

• 基于簽名：此方法將活動與已知威脅的簽名相匹配。這種方法的一個缺點是它只能阻止先前識別的攻擊，而無法識別新的攻擊。
• 基于異常：此方法通過將網絡活動的隨機樣本與基線標準進行比較來監控異常行為。它比基于簽名的監控更強大，但有時會產生誤報。一些更新、更先進的入侵防御系統使用人工智能和機器學習技術來支持基于異常的監控。
• 基于策略：這種方法比基于簽名或基于異常的監控不太常見。它采用企業定義的安全策略并阻止違反這些策略的活動。這需要管理員設置和配置安全策略。

一旦 IPS 檢測到惡意活動，它就會采取許多自動操作，包括提醒管理員、丟棄數據包、阻止來自源地址的流量或重置連接。一些入侵防御系統還使用“蜜罐”或誘餌高價值數據來吸引攻擊者并阻止他們到達目標。

入侵防御系統的類型

有多種類型的 IPS，每種類型的目的略有不同：

• 網絡入侵防御系統 (NIPS)：這種類型的 IPS 僅安裝在戰略點，以監控所有網絡流量并主動掃描威脅。
• 主機入侵防御系統 (HIPS)：與 NIPS 相比，HIPS 安裝在端點（例如 PC）上，僅查看來自該機器的入站和出站流量。它與 NIPS 結合使用效果最佳，因為它可以作為通過 NIPS 的威脅的最后一道防線。
• 網絡行為分析 (NBA)：這會分析網絡流量以檢測異常流量，例如 DDoS（分布式拒絕服務）攻擊。
• 無線入侵防御系統 (WIPS)：這種類型的 IPS 只是掃描 Wi-Fi 網絡是否有未經授權的訪問，并將未經授權的設備踢出網絡。

入侵防御系統的好處在哪里？

入侵防御系統提供了許多好處：

• 額外的安全性：IPS 與其他安全解決方案協同工作，它可以識別其他解決方案無法識別的威脅。對于使用基于異常的檢測的系統來說尤其如此。由于高度的應用程序感知，它還提供了卓越的 應用程序安全性。
• 提高其他安全控制的效率：由于 IPS 在惡意流量到達其他安全設備和控制之前將其過濾掉，因此它減少了這些控制的工作量并允許它們更有效地執行。
• 節省時間：由于 IPS 在很大程度上是自動化的，因此它需要 IT 團隊投入較少的時間。
• 合規性：IPS 滿足 PCI DSS、HIPAA 等提出的許多合規性要求。它還提供有價值的審計數據。
• 定制：IPS 可以設置定制的安全策略，以提供特定于使用它的企業的安全控制。

為什么入侵防御系統很重要？

IPS 成為任何企業安全系統的關鍵部分的原因有很多 。現代網絡有許多接入點并處理大量流量，這使得手動監控和響應成為不切實際的選擇。（在云安全方面尤其如此，高度連接的環境可能意味著擴大的攻擊面，因此更容易受到威脅。）此外，企業安全系統面臨的威脅越來越多，越來越復雜。在這種情況下，IPS 的自動化功能至關重要，它允許企業快速響應威脅，而不會給 IT 團隊帶來壓力。作為企業安全基礎設施的一部分，IPS 是幫助防止一些最嚴重和最復雜的攻擊的關鍵方法。

入侵防御系統如何適應我現有的安全基礎設施？

重要的是要記住，IPS 只是強大的安全解決方案的一個組成部分——它需要與其他技術配合使用才能發揮最大效用。事實上，入侵防御系統通常作為統一威脅管理或下一代防火墻解決方案的一種功能提供，盡管它們也可以是獨立的產品。在典型的安全架構中，IPS 通常位于防火墻后面并與其協同工作，以提供額外的安全級別并捕獲防火墻無法自行捕獲的威脅。IPS 還有助于保護其他安全控制免受攻擊，并通過在惡意流量到達之前將其過濾掉來提高這些控制的性能。