Как работает система обнаружения и предотвращения вторжений (IPS) в межсетевых экранах?

Система предотвращения вторжений (IPS) в межсетевых экранах работает путём мониторинга сетевого трафика, анализа данных, обнаружения угроз и реагирования. 5

Мониторинг трафика. 5 Система постоянно отслеживает все данные, проходящие через сеть: от запросов пользователей до пакетов с информацией, которые отправляют внутренние и внешние устройства. 5 Мониторинг может быть непрерывным или выборочным, в зависимости от уровня угрозы и типа защищаемой информации. 5

Анализ данных. 5 На этом этапе происходит детальный разбор поступающей информации. 5 IPS-системы сравнивают данные с известными сигнатурами угроз, то есть заранее установленными шаблонами, которые соответствуют определённым типам атак. 5 Дополнительно система может использовать аномалийный анализ, чтобы определить несоответствия в поведении сетевого трафика. 5 Например, если активность пользователя внезапно превышает привычный уровень, это может быть сигналом об угрозе. 5

Обнаружение угроз. 5 На этом этапе система идентифицирует возможные угрозы, используя либо сигнатурный, либо поведенческий анализ. 5

Реагирование. 5 После обнаружения угрозы IPS-система принимает меры, которые зависят от характера и серьёзности угрозы. 2 К таким мерам относятся, например: блокировка IP-адреса, с которого поступает вредоносный трафик, отсеивание входящих пакетов с потенциально опасными данными, разрыв соединения, внесение изменений в правила безопасности межсетевого экрана и другие. 2

IPS может контролировать трафик между локальной сетью и интернетом, а также трафик внутри локальной сети, пакеты данных, которые поступают на конкретный хост (например, рабочую станцию или сервер) и отправляемые с него, устройства, которые подключаются к сети Wi-Fi. 2