對這文章發表回應

入侵防禦系統，英文是 Intrusion Prevention System，簡稱IPS。它是一個可以監控是否有惡意行為存在於網路和系統的安全軟體，可以辨識、阻止、導出惡意活動。

講到入侵防禦系統，就會提到另一個和它很像的「入侵偵測系統」，兩者最大的差別在於：雖然他們都會偵測網路上的活動，但是入侵防禦系統還可以發出警訊、刪除垃圾封包、重新設定或是擋掉入侵IP，甚至還能清除不想要的網路層。

入侵防禦系統共分四項：

網路入侵防禦系統(Network-based Intrusion Prevention, NIP)：藉由分析網路協定來監控所有可疑活動。

無線網路入侵防禦系統(Wireless Intrusion Prevention Systems, WIPS)：分析無線網路協定來監控可疑活動。

網路行為分析(Network Behavior Analysis, NBA)：測試網路以辨別是否有可疑流量，可以阻止「分散式拒絕服務攻擊」。

主機入侵防禦系統(Host-based Intrusion Prevention, HIPS)：安裝在電腦上，監控所有在電腦上的程序活動。

因此，我們熟知的HIPS，其實只是入侵防禦系統中的其中一項！

至於入侵防禦系統偵測威脅的方法，大致上有三項：

特徵偵測（Signature-based Detection）：事先寫入規則，網路上只要有和這些規則一樣的活動，就會被阻擋或是被隔離。

統計異常行為偵測（Statistical Anomaly-based Detection）：假設網路流量有一個基準，當這個基準被確定後，系統就會擷取網路流量和基準比較，超過或是低於這樣的流量稱作「異常」，系統將對異常流量採取適當行動。

狀態協定分析與偵測（Stateful Protocol Analysis Detection）：分析網路流量中特定協定是否符合應有的運作。

本文轉載於 「I/O」。