نظام منع التسلل
(Intrusion Prevention System) (IPS)
هو احد تقنيات أمن الشبكات التي تراقب حركة
مرور بيانات الشبكة في الوقت الفعلي بهدف الكشف عن التهديدات الأمنية المحتملة
ومنعها مثل الوصول غير المصرح به أو الهجمات الخبيثة.
ترتكز طبيعة عمل الـ IPS على تحليل حركة مرور بيانات الشبكة
وذلك بحثاً عن علامات أو مؤشرات النشاط المشبوه مثل الأنماط غير العادية أو
الحالات الشاذة التي قد تشير إلى محاولة الهجوم.
يستخدم الـ IPS تقنيات مختلفة للكشف عن التهديدات
مثل الكشف القائم على التوقيع (signature) والتحليل السلوكي (behavioral analysis) والكشف عن الشذوذ (anomaly)
بمجرد أن يكتشف الـ IPS تهديدا محتملا يمكنه اتخاذ عدة إجراءات
مختلفة لمنع التهديد مثل:
١-منع حركة المرور المشبوهة.
٢-إعادة توجيه الحزم الى تطبيق أمن آخر لمزيد
من التحقق.
٣-عزل الجهاز أو جزء الشبكة المتأثر.
٤-تنبيه مسؤول الشبكة لمزيد من التحقيق.
يمكن أن يكون نظام الـ IPS جهاز مستقل أو برنامج مدمج في أحد
أجهزة الشبكة مثل الجدار الناري أو جهاز التوجيه.
بعض أنظمة الـ IPS لها القدرة على التكامل مع التقنيات
الأمنية الأخرى مثل أنظمة الكشف عن التسلل (IDS) وأنظمة إدارة المعلومات والأحداث
الأمنية (SIEM) لتوفير حلول أمنية أكثر
شمولا.
يتطلب نظام الـ IPS القائم على التوقيع (signature) تحميل هذه التواقيع وتحديثها بشكل
مستمر غالباً من موقع الشركة المصنعة ، ففكرتها شبيهة الى حد كبير بطريقة عمل
برامج مكافحة الفيروسات التي نثبتها على أجهزتنا والتي تتطلب التحديث المستمر
لتكون قادرة على اكتشاف التهديدات.
غالباً ما تكون هذه التواقيع مصممة للكشف عن:
DoS
DDoS
Worms
Viruses
