IPS

10 декабря, 2025, 16:30

IPS (Intrusion Prevention System, Система предотвращения вторжений) — это система активной безопасности, которая в режиме реального времени не только обнаруживает подозрительную или вредоносную активность в сетевом трафике, но и автоматически предпринимает действия для ее блокировки или нейтрализации. IPS размещается «на линии» (in-line) трафика и может прерывать атаки до того, как они достигнут цели.

Возможности и методы работы IPS:

  • Сигнатурный анализ (Signature-Based): Обнаружение известных атак по их уникальным шаблонам (сигнатурам), аналогично работе антивируса. Эффективен против известных угроз, но бесполезен против нулевых (zero-day) атак.
  • Обнаружение аномалий (Anomaly-Based): Создание «базового профиля» нормального сетевого трафика и последующее выявление отклонений от него (например, необычно высокий объем трафика при DDoS). Способна обнаруживать новые, неизвестные атаки, но может генерировать ложные срабатывания.
  • Обнаружение на основе политик (Policy-Based): Блокировка трафика, нарушающего заданные политики безопасности компании.
  • Автоматизированное реагирование: При обнаружении угрозы система может автоматически выполнить одно или несколько действий:
    — Блокировать трафик с IP-адреса атакующего
    — Сбросить соединение (TCP reset)
    — Изменить конфигурацию сетевого устройства (например, брандмауэра) для блокировки атаки.
    — Отправить предупреждение администратору.

IPS часто является составной частью современных брандмауэров следующего поколения (NGFW). Ключевым отличием от IDS является способность активно вмешиваться в трафик, что создает риск ложного срабатывания и блокировки легитимного трафика. Поэтому настройка и «обучение» IPS (особенно при использовании анализа аномалий) — критически важный процесс. IPS эффективна против сканирования портов, эксплойтов известных уязвимостей, DoS-атак и распространения червей, но требует постоянного обновления сигнатур и тонкой настройки.

Продолжение ниже

Боссы российского кибербеза

Упоминания