Сетевая безопасность
Система предотвращения вторжений (IPS)
Также известно как: IPS
Определение
Inline-средство безопасности, которое обнаруживает вредоносный трафик и активно блокирует, разрывает или очищает его в реальном времени.
Примеры
- IPS на базе Snort или Suricata отбрасывает пакеты, соответствующие сигнатуре эксплойта EternalBlue.
- Модуль Threat Prevention в Palo Alto блокирует исходящий C2-маяк по категории URL.
Связанные термины
Система обнаружения вторжений (IDS)
Пассивное средство безопасности, отслеживающее сетевую или хостовую активность на признаки вредоносного поведения и формирующее оповещения без блокирования трафика.
Межсетевой экран нового поколения (NGFW)
Продвинутый межсетевой экран, который сочетает анализ состояний с распознаванием приложений, встроенным IPS, контролем по пользователю и инспекцией TLS для применения более детальных политик.
Сигнатурное обнаружение
Метод обнаружения, при котором наблюдаемый трафик, файлы или поведение сопоставляются с базой известных вредоносных шаблонов (сигнатур) для выявления вредоносной активности.
Обнаружение по аномалиям
Подход к обнаружению, при котором строится базовая линия нормальной активности, а значимые отклонения от неё помечаются как потенциально вредоносные.
Глубокая инспекция пакетов (DPI)
Метод инспекции, при котором анализируется не только заголовок, но и вся полезная нагрузка пакетов для распознавания приложений, контента и угроз.
Сетевая IDS (NIDS)
Сенсор обнаружения вторжений, который анализирует трафик, захваченный с сетевого сегмента, для выявления вредоносных шаблонов и нарушений политики.