情報セキュリティにおける侵入防止システムとは何ですか？

侵入防止システムは、ネットワークおよびシステムのアクティビティを監視して悪意のある動作や望ましくない動作を検出し、それらのアクティビティをブロックまたは回避するために対応できるネットワークセキュリティデバイスです。

ネットワークベースのIPSはインラインで機能し、悪意のあるプログラムや攻撃がないかすべてのネットワークトラフィックを監視します。攻撃が特定されると、他のすべてのトラフィックを通過させながら、問題のあるパケットをドロップする可能性があります。侵入防止技術は、侵入検知（IDS）技術の開発として扱われる人もいます。

1990年代後半の侵入防止システム（IPS）の派生物で、検出システムをインラインに配置することにより、パッシブネットワーク監視のあいまいさを解決します。初期のIPSは、ファイアウォールへの防止コマンドとルーターへのアクセス制御の変更を実行できるIDSでした。この方法は、制御メカニズムを通過するときにIDSとエクスプロイトの間に競合状態が発生したため、運用上不十分でした。

インラインIPSは、ファイアウォールテクノロジーの改善と見なすことができ（snortインラインは1つに結合されます）、IPSは、従来のファイアウォールが完了していたIPアドレスやポートではなく、アプリケーションコンテンツに基づいてアクセス制御の決定を作成できます。

分類マッピングのパフォーマンスと効率を向上させることができます。ほとんどのIPSは、シグニチャ構造で宛先ポートを使用します。 IPSシステムは当初、侵入検知システムの文字通りの拡張であったため、引き続き関連付けられています。

侵入防止システムは、潜在的に悪意のあるイベントを拒否するために、ホストレベルで二次的に機能することもできます。ネットワークベースのIPSと相関するホストベースのIPSには長所と短所があります。場合によっては、テクノロジーは補完的である必要があります。

侵入防止システムは、低コストの誤検知を可能にする優れた侵入検知システムである必要があります。一部のIPSシステムは、バッファオーバーフローによって引き起こされる攻撃など、まだ発見されていない攻撃を回避することもできます。

ネットワークでのIPSの動作は、アクセス制御およびアプリケーション層ファイアウォールと混同されます。これらのテクノロジーにはいくつかの重要な違いがあります。すべてが類似点を共有していますが、ネットワークまたはシステムのセキュリティへのアプローチ方法は本質的に異なります。

IPSは通常、ネットワーク上で完全に目に見えないように機能するように設計されています。 IPS製品は通常、保護されたネットワーク上でIPアドレスを要求しませんが、いくつかの方法でトラフィックに直接応答できます。 （一般的なIPS応答には、パケットのドロップ、接続のリセット、アラートの作成、さらには侵入者の隔離が含まれます。）一部のIPS製品にはファイアウォールルールを実行する機能がありますが、これは一般に単なる利便性であり、製品のコアサービスではありません。

さらに、IPSテクノロジーは、過度にアクティブなホスト、不正なログオン、不適切なコンテンツ、その他のネットワークおよびアプリケーション層の機能に関するデータをサポートするネットワーク操作に関するより深い洞察を提供します。