Entry № 613
入侵防御系统(IPS)
入侵防御系统(IPS) 是什么?
入侵防御系统(IPS)一种串接在数据路径中的安全控制设备,能够实时检测恶意流量并主动丢弃、重置或净化。
入侵防御系统(IPS)以串联(inline)方式部署在数据路径上,采用与 IDS 相同的检测技术——特征匹配、异常模型、协议分析、信誉查询——但具备主动丢包、断开会话、隔离流量或触发自动响应的能力。现代 IPS 多数集成在 NGFW 中,或以 SASE 云端检测形式提供。由于误报可能造成业务中断,IPS 规则通常先以监测模式上线,经过调优后再切换为阻断。有效运行依赖最新的威胁情报、必要时的加密流量检测、容量规划、fail-open / fail-closed 策略以及与 SIEM/SOAR 的联动。
● 示例
- 01
Snort 或 Suricata 作为 IPS,丢弃与 EternalBlue 利用特征匹配的数据包。
- 02
Palo Alto 的 Threat Prevention 根据 URL 类别阻断出站 C2 信标。
● 常见问题
入侵防御系统(IPS) 是什么?
一种串接在数据路径中的安全控制设备,能够实时检测恶意流量并主动丢弃、重置或净化。 它属于网络安全的 网络安全 分类。
入侵防御系统(IPS) 是什么意思?
一种串接在数据路径中的安全控制设备,能够实时检测恶意流量并主动丢弃、重置或净化。
如何防御 入侵防御系统(IPS)?
针对 入侵防御系统(IPS) 的防御通常结合技术控制与运营实践,详见上方完整定义。
入侵防御系统(IPS) 还有哪些其他名称?
常见的别称包括: IPS。