Ein Intrusion-Prevention-System (IPS) überwacht den Netzwerkverkehr aktiv in Echtzeit, um bösartige Aktivitäten und Sicherheitsbedrohungen zu erkennen und zu blockieren. Es analysiert ein- und ausgehende Pakete und vergleicht sie mit einer Datenbank bekannter Angriffssignaturen und vordefinierten Regeln. Wenn das IPS ein Paket oder einen Paketstrom identifiziert, das mit einer Signatur übereinstimmt oder gegen eine bestimmte Regel verstößt, ergreift es sofort Maßnahmen, um zu verhindern, dass die Bedrohung das Netzwerk gefährdet. Diese Aktion kann das Verwerfen oder Blockieren der Schadpakete, das Zurücksetzen von Verbindungen und die Benachrichtigung von Netzwerkadministratoren umfassen, damit sie den Vorfall untersuchen und umgehend darauf reagieren können.
Intrusion-Prevention-Systeme (IPS) und Intrusion-Detection-Systeme (IDS) sind Sicherheitstechnologien, die Netzwerke vor unbefugtem Zugriff und böswilligen Aktivitäten schützen sollen. Ein IDS überwacht den Netzwerkverkehr und Systemereignisse und analysiert Muster und Anomalien, um potenzielle Sicherheitsverletzungen zu erkennen. Es generiert Warnungen, wenn verdächtige Aktivitäten erkannt werden, sodass Administratoren potenzielle Bedrohungen untersuchen und darauf reagieren können. Ein IPS geht noch einen Schritt weiter, indem es identifizierte Bedrohungen aktiv blockiert oder daran hindert, in das Netzwerk einzudringen, und so Echtzeitschutz vor Angriffen bietet. Während sich IDS auf Erkennung und Alarmierung konzentriert, kombiniert IPS Erkennung mit Prävention, um das Netzwerk aktiv gegen Sicherheitsbedrohungen zu verteidigen.
Eine IPS-Signatur funktioniert, indem sie bestimmte Muster oder Merkmale bekannter bösartiger Aktivitäten oder Angriffe definiert. Diese Signaturen werden auf der Grundlage von Recherchen und Analysen verschiedener Arten von Netzwerkangriffen, Schwachstellen und Exploits erstellt. Wenn ein IPS den Netzwerkverkehr untersucht, vergleicht es eingehende Pakete mit seiner Signaturdatenbank. Wenn ein Paket mit einer Signatur übereinstimmt, was auf einen bekannten Angriff oder eine nicht autorisierte Aktivität hinweist, ergreift das IPS Maßnahmen gemäß vordefinierten Richtlinien, um die Bedrohung zu blockieren oder abzuschwächen. Signaturen können von einfachen Mustern in Paket-Headern bis hin zu komplexeren Sequenzen reichen, die auf bestimmte Angriffsmethoden oder Verhaltensweisen hinweisen und es dem IPS ermöglichen, ein breites Spektrum an Sicherheitsbedrohungen effektiv zu erkennen und abzuwehren.