Netzwerksicherheit
Intrusion Prevention System (IPS)
Auch bekannt als: IPS
Definition
Eine inline arbeitende Sicherheitskomponente, die bösartigen Verkehr erkennt und in Echtzeit aktiv blockiert, zurücksetzt oder filtert.
Beispiele
- Ein Snort- oder Suricata-IPS verwirft Pakete, die einer EternalBlue-Exploit-Signatur entsprechen.
- Das Threat-Prevention-Modul einer Palo-Alto-NGFW blockiert ein ausgehendes C2-Beacon anhand einer URL-Kategorie.
Verwandte Begriffe
Intrusion Detection System (IDS)
Eine passive Sicherheitskomponente, die Netzwerk- oder Host-Aktivität auf böswilliges Verhalten überwacht und Alarme auslöst, ohne Verkehr zu blockieren.
Next-Generation Firewall (NGFW)
Eine fortgeschrittene Firewall, die Stateful Inspection mit Anwendungs- und Benutzererkennung, integriertem IPS und TLS-Inspektion kombiniert, um differenziertere Richtlinien durchzusetzen.
Signaturbasierte Erkennung
Eine Erkennungsmethode, die beobachteten Verkehr, Dateien oder Verhalten mit einer Datenbank bekannter bösartiger Muster (Signaturen) abgleicht, um bösartige Aktivität zu kennzeichnen.
Anomaliebasierte Erkennung
Ein Erkennungsansatz, der eine Baseline normalen Verhaltens aufbaut und Abweichungen davon als potenziell bösartig kennzeichnet.
Deep Packet Inspection (DPI)
Ein Verfahren, das nicht nur Header, sondern die gesamte Nutzlast von Netzwerkpaketen analysiert, um Anwendungen, Inhalte und Bedrohungen zu erkennen.
Netzwerk-basiertes IDS (NIDS)
Ein Intrusion-Detection-Sensor, der aus einem Netzwerksegment kopierten Verkehr analysiert, um bösartige Muster und Policy-Verstöße zu erkennen.