Как было рассмотрено ранее, IPS/IDS системы это устройства, которые предназначены для обнаружения атак на корпоративную сеть.
Подпись в рамках понятия IPS/IDS систем - это набор правил, который сопоставляет заранее настроенные шаблоны к проходящим через устройство пакетам. Системы обнаружения Cisco и предотвращения вторжений имеют тысячи настроенных по умолчанию шаблонов, которые нуждаются лишь в активации. С появлением все более изощренных атак, компания Cisco Systems постоянно создает дополнительные шаблоны.
На сегодняшний день, система обнаружения и предотвращения вторжений на базе IPS/IDS это самый существенный метод обнаружения атак.
ОБЩАЯ ПОЛИТИКА БЕЗОПАСНОСТИ
Данный тип защиты от атак может быть реализован на основании политик безопасности компании. Например, компания имеет правило, что из внешней сети не должно быть доступа в определенный сетевой сегмент, например, серверную ферму. Доступ будет недоступен по протоколу Telnet, 23 порт. При поступлении пакета, с адресом назначения из сегмента серверной фермы и портом назначения 23, IPS оповестит систему мониторинга и сбросит данный пакет.
ПРОВЕРКА НА БАЗЕ НЕЛИНЕЙНОСТИ ПОВЕДЕНИЯ
Проверка на нелинейность трафика – это еще один мощный инструмент в защите периметра сети. Примером работы алгоритма отслеживания нелинейности, может стать ситуация, при которой администратор сети заранее задает максимальное количество TCP запросов в минуту, который не получили ответ. Например, администратор задал максимум, в количестве 50 сессий. Как только максимальная отметка будет преодолена, IPS/IDS система оповестит систему мониторинга и начнет отбрасывать подобные пакеты. Такое поведение называется нелинейностью, или аномалией. Данный механизм используется для обнаружения «червей», которые пытаются попасть в сетевой корпоративный ландшафт.
ПРОВЕРКА НА ОСНОВАНИИ РЕПУТАЦИИ
Данный механизм строится на базе уже совершенных кибер – атак. Устройство IPS, функционирующее на основании данного алгоритма, собирает данные с других систем предотвращения вторжения, которые находятся в глобальной сети. Как правило, блокировка осуществляется на основании IP – адресов, универсальных локаторов ресурса, или Uniform Resource Locator (URL), доменных систем и так далее.
