intrusion prevention system

Im Gegensatz zu einem Intrusion Detection System (IDS) hat das Intrusion Prevention System (IPS) keine überwachende und alarmauslösende Funktion, sondern kontrolliert unmittelbar den Traffic. Das IPS-System ist direkt in die Datenleitungen geschaltet und überwacht die ein- und ausgehenden Datenpakete der Netzwerk-Komponenten. Angriffe und vom normalen Datenverkehr abweichende Bitmuster werden über Signaturen erkannt und blockieren den Datenverkehr. Unterstützt wird diese Sperrfunktion durch intelligente Verhaltensmuster und anomale Algorithmen, die auf der Applikationsebene arbeiten.

IPS-Systeme sollten die Datenanalyse in Hochgeschwindigkeit ausführen können und dürfen selbst unter Hochlast nicht den legitimen Datenverkehr blockieren. Die Schutzmechanismen wie Signaturanalysen, das Erkennen von Protokollabweichungen, Firewall-Funktionen und Zugriffskontrollen müssen robust sein.