침입 방지 시스템은 악의적이거나 원치 않는 동작에 대해 네트워크 및 시스템 활동을 모니터링하고 이러한 활동을 차단하거나 피하기 위해 대응할 수 있는 네트워크 보안 장치입니다.
네트워크 기반 IPS는 인라인으로 작동하여 악성 프로그램이나 공격에 대한 모든 네트워크 트래픽을 모니터링합니다. 공격이 식별되면 문제가 되는 패킷을 삭제하면서 다른 모든 트래픽은 계속 통과할 수 있습니다. 일부에서는 침입 방지 기술을 침입 감지(IDS) 기술의 발전으로 취급합니다.
탐지 시스템을 인라인으로 배치하여 수동 네트워크 모니터링의 모호성을 해결하기 위해 1990년대 후반에 파생된 IPS(침입 방지 시스템). 초기 IPS는 방화벽에 대한 방지 명령과 라우터에 대한 액세스 제어 변경을 수행할 수 있는 IDS였습니다. 이 방법은 제어 메커니즘을 통해 이동할 때 IDS와 익스플로잇 사이에 경쟁 조건을 생성했기 때문에 운영상 부족했습니다.
인라인 IPS는 방화벽 기술의 개선으로 간주될 수 있으며(snort 인라인은 하나로 결합됨), IPS는 기존 방화벽이 완성된 것처럼 IP 주소나 포트 대신 애플리케이션 콘텐츠를 기반으로 액세스 제어 결정을 생성할 수 있습니다.
분류 매핑의 성능과 효율성을 향상시킬 수 있으며 대부분의 IPS는 서명 구조에서 대상 포트를 사용합니다. IPS 시스템은 처음에 침입 탐지 시스템의 문자 그대로 확장된 것이므로 계속 연결됩니다.
침입 방지 시스템은 잠재적으로 악의적인 이벤트를 거부하기 위해 호스트 수준에서 2차적으로 작동할 수도 있습니다. 네트워크 기반 IPS와 상관관계가 있는 호스트 기반 IPS에는 장단점이 있습니다. 어떤 경우에는 기술이 상호 보완적이어야 합니다.
침입 방지 시스템은 낮은 비용의 오탐을 허용하는 우수한 침입 감지 시스템이어야 합니다. 일부 IPS 시스템은 버퍼 오버플로로 인한 공격을 포함하여 아직 발견되지 않은 공격도 피할 수 있습니다.
네트워크에서 IPS의 동작은 액세스 제어 및 응용 프로그램 계층 방화벽과 혼동됩니다. 이러한 기술에는 몇 가지 중요한 차이점이 있습니다. 모두 유사성을 공유하지만 네트워크 또는 시스템 보안에 접근하는 방식은 본질적으로 다릅니다.
IPS는 일반적으로 네트워크에서 완전히 보이지 않게 작동하도록 설계되었습니다. IPS 제품은 일반적으로 보호된 네트워크에서 IP 주소를 요구하지 않지만 여러 방식으로 모든 트래픽에 직접 응답할 수 있습니다. (일반적인 IPS 응답에는 패킷 삭제, 연결 재설정, 경고 생성, 침입자 격리가 포함됩니다.) 일부 IPS 제품에는 방화벽 규칙을 수행할 수 있는 기능이 있지만 이는 일반적으로 제품의 핵심 서비스가 아니라 편의에 불과합니다.
또한 IPS 기술은 과도하게 활성화된 호스트, 잘못된 로그온, 부적절한 콘텐츠 및 기타 네트워크 및 응용 프로그램 계층 기능에 대한 데이터를 지원하는 네트워크 운영에 대한 심층적인 통찰력을 제공합니다.