Ein Intrusion Prevention System (IPS) überwacht ein Netzwerk -Datenpaket für verdächtige Aktivitäten und versucht, mit bestimmten Richtlinien Maßnahmen zu ergreifen.Es wirkt etwas wie ein Intrusionserkennungssystem, das eine Firewall enthält, um Angriffe zu verhindern.Es sendet eine Warnung an ein Netzwerk- oder Systemadministrator, wenn etwas Verdächtiges erkannt wird, sodass der Administrator eine Aktion auswählen kann, wenn das Ereignis erfolgt.Intrusion Prevention Systems können ein gesamtes Netzwerk, drahtlose Netzwerkprotokolle, ein Netzwerkverhalten und einen einzelnen Computerverkehr überwachen.Jedes IPS verwendet spezifische Erkennungsmethoden, um Risiken zu analysieren.

Abhängig vom IPS -Modell und seinen Merkmalen kann ein Intrusionspräventionssystem verschiedene Sicherheitsverletzungen erkennen.Einige können die Verbreitung von Malware über ein Netzwerk, das Kopieren großer Dateien zwischen zwei Systemen und die Verwendung verdächtiger Aktivitäten wie dem Port -Scannen erkennen.Nachdem das IPS das Problem mit seinen Sicherheitsregeln vergleicht, protokolliert sie jedes Ereignis und dokumentiert die Ereignisfrequenz.Wenn der Netzwerkadministrator die IPS so konfiguriert hat, dass sie eine spezifische Aktion basierend auf dem Vorfall ausführen, wird das Intrusion Prevention System die zugewiesene Aktion ergriffen.Eine grundlegende Warnung wird an den Administrator gesendet, damit er oder sie bei Bedarf zusätzliche Informationen auf dem IPS anzeigen kann.-basierend.Ein netzwerkbasiertes IPS analysiert verschiedene Netzwerkprotokolle und wird üblicherweise auf Remote-Zugriffsservern, virtuellen privaten Netzwerkservern und Routern verwendet.Ein drahtloses IPS beobachtet verdächtige Aktivitäten in drahtlosen Netzwerken und sucht auch nach nicht autorisierten drahtlosen Netzwerken in einem Gebiet.Die Netzwerkverhaltensanalyse sucht nach Bedrohungen, die ein Netzwerk abbauen oder Malware verbreiten könnten, und wird üblicherweise mit privaten Netzwerken verwendet, die mit dem Internet verbunden werden.Ein hostbasiertes IPS arbeitet an einem einzelnen System und sucht nach seltsamen Anwendungsprozessen, ungewöhnlichem Netzwerkverkehr zum Host-, Dateisystemänderungs- und Konfigurationsänderungen.

Es gibt drei Erkennungsmethoden, die ein Intrusion Prevention-System verwenden kann, und viele Systeme verwenden eineKombination aller drei.Signaturbasierte Erkennung funktioniert gut, um bekannte Bedrohungen zu erkennen, indem ein Ereignis mit einer bereits dokumentierten Signatur verglichen wird, um festzustellen, ob eine Sicherheitsverletzung aufgetreten ist.Anomaliebasierte Erkennung sucht nach Aktivität, die im Vergleich zu den normalen Ereignissen, die in einem System oder Netzwerk auftreten, abnormal ist und besonders nützlich ist, um unbekannte Bedrohungen zu identifizieren.Zustandsfägige Protokollanalyse sucht nach Aktivität, die gegen die Normalität ein bestimmtes Protokoll verwendet wird.