网络安全
入侵防御系统(IPS)
别称: IPS
定义
一种串接在数据路径中的安全控制设备,能够实时检测恶意流量并主动丢弃、重置或净化。
入侵防御系统(IPS)以串联(inline)方式部署在数据路径上,采用与 IDS 相同的检测技术——特征匹配、异常模型、协议分析、信誉查询——但具备主动丢包、断开会话、隔离流量或触发自动响应的能力。现代 IPS 多数集成在 NGFW 中,或以 SASE 云端检测形式提供。由于误报可能造成业务中断,IPS 规则通常先以监测模式上线,经过调优后再切换为阻断。有效运行依赖最新的威胁情报、必要时的加密流量检测、容量规划、fail-open / fail-closed 策略以及与 SIEM/SOAR 的联动。
示例
- Snort 或 Suricata 作为 IPS,丢弃与 EternalBlue 利用特征匹配的数据包。
- Palo Alto 的 Threat Prevention 根据 URL 类别阻断出站 C2 信标。
相关术语
入侵检测系统(IDS)
一种被动的安全控制措施,监控网络或主机活动以发现恶意行为并触发告警,但不主动阻断流量。
下一代防火墙(NGFW)
在状态化检测基础上引入应用识别、集成 IPS、用户身份控制和 TLS 解密,从而实施更精细策略的高级防火墙。
基于特征的检测
通过将观察到的流量、文件或行为与已知恶意模式(特征/签名)数据库进行匹配来识别恶意活动的检测方法。
基于异常的检测
通过建立正常活动的基线,并将偏离基线的行为标记为潜在恶意的检测方法。
深度包检测(DPI)
一种不仅检查报头还分析数据包整个负载的检测技术,用于识别应用、内容和威胁。
基于网络的入侵检测系统(NIDS)
通过对从网络段捕获的流量进行检查,识别恶意模式和策略违规的入侵检测传感器。