Hệ Thống Ngăn Chặn Xâm Nhập (IPS)


Nếu tường lửa giống như cánh cổng bảo vệ, chỉ cho phép hoặc từ chối các gói tin dựa trên quy tắc đã định sẵn, thì Hệ thống Ngăn chặn Xâm nhập (Intrusion Prevention System – IPS) lại giống đội đặc nhiệm phản ứng nhanh – liên tục giám sát sâu bên trong lưu lượng mạng, tìm kiếm dấu hiệu bất thường hoặc độc hại, và sẵn sàng hành động ngay lập tức để vô hiệu hóa mối đe dọa.

Điểm mạnh của IPS là phân tích gói tin sâu (Deep Packet Inspection – DPI). Nhờ vậy, IPS có thể bổ sung sức mạnh cho tường lửa bằng cách ngăn chặn các kiểu tấn công mà tường lửa truyền thống khó phát hiện.
Ví dụ:

• Phát hiện và chặn file chứa mã độc ẩn trong luồng HTTP/SMTP.
• Ngăn chặn kết nối botnet đang cố giao tiếp với máy chủ điều khiển.
• Phát hiện hành vi khai thác lỗ hổng ứng dụng.

Mô hình triển khai IPS

• IPS dựa trên mạng (NIPS – Network-based IPS): Triển khai tại các điểm chiến lược trong mạng để xử lý tấn công bất kể mục tiêu ở đâu. Thường ở dạng thiết bị chuyên dụng hoặc mô-đun gắn vào thiết bị mạng như switch hoặc router.
• IPS dựa trên máy chủ (HIPS – Host-based IPS): Cài trực tiếp trên máy chủ, chỉ giám sát và ngăn chặn tấn công nhắm vào chính máy chủ đó.

Trong môi trường doanh nghiệp, NIPS và HIPS thường kết hợp để tạo nhiều lớp phòng thủ. Các phương pháp kiểm tra lưu lượng trong IPS

1. Kiểm tra dựa trên chữ ký (Signature-based)
   • So khớp gói tin với cơ sở dữ liệu chữ ký tấn công (ví dụ: một chuỗi byte đặc trưng của mã khai thác).
   • Hiệu quả cao với các mối đe dọa đã biết nhưng phụ thuộc vào việc cập nhật chữ ký thường xuyên.
   • Tương tự như phần mềm antivirus quét file dựa trên mẫu nhận diện.
2. Kiểm tra dựa trên bất thường (Anomaly-based)
   • Giám sát lưu lượng và phản ứng khi thấy hành vi khác thường so với mức bình thường.
   • Có hai loại chính:
     • Phát hiện bất thường thống kê (Statistical Anomaly Detection / Network Behavior Analysis):
       Xây dựng hồ sơ hành vi bình thường dựa trên thông số như tốc độ lưu lượng, kiểu giao thức, số lượng kết nối… rồi phát hiện khi có sự sai lệch.
       Ví dụ: Bình thường server web chỉ nhận 200 request/giây, nhưng đột ngột tăng lên 10.000 request/giây → có thể là tấn công DDoS.
     • Xác minh giao thức (Protocol Verification):
       So sánh việc sử dụng giao thức với tiêu chuẩn RFC. Nếu phát hiện gói tin sai định dạng hoặc vi phạm chuẩn → chặn ngay.
3. Kiểm tra dựa trên chính sách (Policy-based)
   • Áp dụng các quy tắc tùy chỉnh do quản trị viên định nghĩa.
   • Ví dụ: Chặn toàn bộ traffic FTP ra ngoài trừ một số máy chủ được phép.

IPS Thế Hệ Tiếp Theo – NGIPS


Các NGIPS hiện đại thường kết hợp nhiều phương pháp để tăng hiệu quả và giảm cảnh báo giả (false positive). Ngoài ra, chúng còn được trang bị:

• Chuẩn hóa lưu lượng (Traffic Normalization) để vô hiệu hóa kỹ thuật né tránh.
• Giải mã giao thức để phân tích dữ liệu ẩn trong SSL/TLS.
• Nhận thức ngữ cảnh & danh tiếng (Reputation & Context Awareness) để ưu tiên xử lý các mối đe dọa nguy hiểm nhất.
• Tương quan sự kiện (Event Correlation) để phát hiện tấn công nhiều giai đoạn.
• Tích hợp dịch vụ đám mây để cập nhật dữ liệu mối đe dọa theo thời gian thực.

📌 IPS không chỉ là “người gác cổng” mà là “đội phản ứng nhanh” của hệ thống phòng thủ mạng. Khi được triển khai đúng cách và cập nhật liên tục, IPS sẽ giúp mạng của bạn phát hiện sớm, phản ứng nhanh và giảm thiểu thiệt hại trước các mối đe dọa hiện đại.
​