什么是入侵防御系统？如何工作？有哪些类型？

网络安全在外围和网络之间的多层保护中发挥作用，所有安全层都需要遵循特定的策略，只有经过授权的用户才能访问网络资源，并阻止未经授权的用户执行漏洞利用和进行恶意活动。

我们将详细了解在 OSI 模型的第 3 层（网络层）运行的入侵防御系统 (IPS)、其特性、功能和用例。

1入侵防御系统

入侵防御系统是一种网络安全技术，它监控网络流量以检测网络流量流中的异常情况，它们拦截网络流量并通过丢弃数据包或重置连接来快速阻止恶意活动，它们是作为事件响应计划和整个事件管理过程的一部分的预防措施。

入侵防御系统是一种在线控制系统，可以根据检测到的安全事件阻止数据包的传递，入侵防御系统通常直接位于防火墙后面并内嵌（在源和目标之间的直接通信路径中），主动分析流入网络的所有流量并采取自动化措施。

2入侵防御系统如何工作？

入侵防御系统通过扫描进入的所有网络流量来工作，入侵防御系统旨在防止各种威胁，包括但不限于以下 - 拒绝服务 ( DoS )攻击、各种类型的漏洞利用、特洛伊木马/ 蠕虫 / 病毒等

入侵防御系统执行实时数据包检查并深入检查在网络中传输的每个数据包，它可以执行多种操作，例如：–

• TCP 会话的终止
• 阻止有问题的源 IP 地址或用户帐户进行应用程序访问
• 重新编程或重新配置防火墙以防止将来再次发生类似的攻击
• 删除或替换在攻击后保留在网络上的任何恶意内容，这可能涉及重新打包有效负载、删除标题信息以及从文件或电子邮件服务器中删除任何受感染的附件。

入侵防御系统可以配置为以多种不同的方式使用，以保护网络免受未经授权的访问，其中包括：

基于签名

有众所周知的网络威胁的预定义签名，当发生与存储的签名模式之一匹配的攻击时，系统会启动所需的操作，例如阻止、重新打包等。

基于异常

这种方法监控网络上的任何异常或意外行为，如果检测到异常，系统会立即阻止目标主机，这会导致意外行为。

基于策略

这种方法要求管理员根据组织安全策略和网络基础设施设置和配置安全策略，当发生违反组织安全策略的活动时，会触发警报，将其发送给系统管理员以采取纠正/预防措施。

3入侵防御系统的类型

入侵防御系统基本上有四种类型：

1、基于网络

通过分析协议活动来监控网络流量，通过分析协议数据包来防止恶意活动，安装后，将从主机控制台和网络收集信息，以识别网络中常用的允许的主机、应用程序和操作系统。使用基于签名的检测来识别威胁。

2、基于主机

顾名思义，用于分析单个主机的活动以检测和防止恶意活动，使用签名和基于异常的检测方法分析代码行为，可以防止访问位于主机上的敏感信息

无线入侵防御系统

在 OSI 模型的第 2 层（数据链路层）上运行，可以检测是否存在恶意设备或错误配置的设备，并且可以通过执行网络 RF 扫描以进行拒绝服务或任何其他形式的攻击，从而防止在无线企业网络上运行。

网络行为 IPS

它包含基于异常的检测机制，寻找与已知“正常”行为的偏差，基于异常的检测需要一个训练期，其中在一段时间内构建正常的配置文件，并且与配置文件的任何不一致都被标记为恶意的。

在为您的网络评估安全解决方案时，我们需要牢记企业基础设施，以及越来越多的互联网威胁。