IPS (Intrusion Prevention System, Система предотвращения вторжений) — это система активной безопасности, которая в режиме реального времени не только обнаруживает подозрительную или вредоносную активность в сетевом трафике, но и автоматически предпринимает действия для ее блокировки или нейтрализации. IPS размещается «на линии» (in-line) трафика и может прерывать атаки до того, как они достигнут цели.
Возможности и методы работы IPS:
- Сигнатурный анализ (Signature-Based): Обнаружение известных атак по их уникальным шаблонам (сигнатурам), аналогично работе антивируса. Эффективен против известных угроз, но бесполезен против нулевых (zero-day) атак.
- Обнаружение аномалий (Anomaly-Based): Создание «базового профиля» нормального сетевого трафика и последующее выявление отклонений от него (например, необычно высокий объем трафика при DDoS). Способна обнаруживать новые, неизвестные атаки, но может генерировать ложные срабатывания.
- Обнаружение на основе политик (Policy-Based): Блокировка трафика, нарушающего заданные политики безопасности компании.
- Автоматизированное реагирование: При обнаружении угрозы система может автоматически выполнить одно или несколько действий:
— Блокировать трафик с IP-адреса атакующего
— Сбросить соединение (TCP reset)
— Изменить конфигурацию сетевого устройства (например, брандмауэра) для блокировки атаки.
— Отправить предупреждение администратору.
IPS часто является составной частью современных брандмауэров следующего поколения (NGFW). Ключевым отличием от IDS является способность активно вмешиваться в трафик, что создает риск ложного срабатывания и блокировки легитимного трафика. Поэтому настройка и «обучение» IPS (особенно при использовании анализа аномалий) — критически важный процесс. IPS эффективна против сканирования портов, эксплойтов известных уязвимостей, DoS-атак и распространения червей, но требует постоянного обновления сигнатур и тонкой настройки.
Упоминания
-
29 апреля 2026
SIEM Alertix и Ideco NGFW Novum подтвердили совместимость
Российские производители ПО для ИБ NGR Softlab и Ideco подтвердили совместимость SIEM Alertix и межсетевого экрана нового поколения Ideco NGFW... -
14 апреля 2026
Компания Ideco обновила межсетевой экран Ideco NGFW Novum
Компания Ideco представила обновление межсетевого экрана нового поколения Ideco NGFW Novum, сообщили SecPost в компании. Релиз включает четыре крупных функциональных... -
2 апреля 2026
Ideco представит архитектурные изменения NGFW Novum
9 апреля 2026 года компания Ideco проведет вебинар, посвященный новой версии межсетевого экрана Ideco NGFW Novum. Как сообщили SecPost в... -
24 марта 2026
Паутина для хакера: российские компании увеличили инвестиции в «киберловушки»
Соблазнительные муляжи В России рынок решений класса DDP (англ. «Distributed Deception Platform», дословно переводится, как «распределенная платформа для обмана» -... -
25 февраля 2026
Positive Technologies представила PT NGFW 3050 для защиты дата-центров и высоконагруженных корпоративных сетей
Компания Positive Technologies пополнила линейку межсетевых экранов нового поколения моделью PT NGFW 3050, предназначенной для защиты дата-центров и высоконагруженных корпоративных... -
21 января 2026
Всероссийский SOC и необходимость увеличивать ИБ-бюджет: ФСБ обновила требования к СЗИ семилетней давности
ФСБ обнародовала приказ № 554 «Об установлении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и... -
19 января 2026
Ngenix вывел на рынок публичное облако с аттестацией по ФСТЭК, ГОСТ и PCI DSS
Российский облачный провайдер Ngenix представил продукт «Аттестованное публичное облако Ngenix». Решение предназначено для защиты веб-ресурсов от DDoS-атак и бот-трафика. Новый...
