O que é um sistema de prevenção de intrusões (nips) baseado em rede? - o que é techopedia

Definição - O que significa o Sistema de Prevenção de Intrusões na Rede (NIPS)?

Um sistema de prevenção de intrusões (NIPS) baseado em rede é um sistema usado para monitorar uma rede, bem como proteger a confidencialidade, integridade e disponibilidade de uma rede. Suas principais funções incluem a proteção da rede contra ameaças, como negação de serviço (DoS) e uso não autorizado.

O NIPS monitora a rede quanto a atividades maliciosas ou tráfego suspeito, analisando a atividade do protocolo. Depois que o NIPS é instalado em uma rede, ele é usado para criar zonas de segurança física. Isso, por sua vez, torna a rede inteligente e discerne rapidamente o bom tráfego do mau tráfego. Em outras palavras, o NIPS se torna uma prisão para tráfego hostil, como cavalos de Tróia, worms, vírus e ameaças polimórficas.

Um sistema de prevenção contra intrusões (IPS) fica alinhado na rede e monitora o tráfego. Quando um evento suspeito ocorre, ele executa uma ação com base em certas regras prescritas. Um IPS é um dispositivo ativo e em tempo real, diferentemente de um sistema de detecção de intrusões, que não está em linha e é um dispositivo passivo. Os IPSs são considerados a evolução do sistema de detecção de intrusões.

Techopedia explica o Sistema de Prevenção de Intrusões em Rede (NIPS)

Os NIPSs são fabricados usando circuitos integrados de aplicativos (ASICs) de alta velocidade e processadores de rede, que são usados ​​para tráfego de rede de alta velocidade, pois são projetados para executar dezenas de milhares de instruções e comparações em paralelo, ao contrário de um microprocessador, que executa uma instrução de cada vez.

A maioria dos NIPSs utiliza um dos três métodos de detecção da seguinte maneira:

• Detecção baseada em assinatura: as assinaturas são padrões de ataque pré-determinados e pré-configurados. Este método de detecção monitora o tráfego da rede e o compara com as assinaturas pré-configuradas, a fim de encontrar uma correspondência. Ao localizar com êxito uma correspondência, o NIPS executa a próxima ação apropriada. Esse tipo de detecção falha ao identificar ameaças de erro de dia zero. No entanto, provou ser muito bom contra ataques de pacotes únicos.
• Detecção baseada em anomalias: este método de detecção cria uma linha de base em condições médias de rede. Depois que uma linha de base é criada, o sistema coleta intermitentemente o tráfego da rede com base na análise estatística e compara a amostra com a linha de base criada. Se a atividade estiver fora dos parâmetros da linha de base, o NIPS executará a ação necessária.
• Detecção de análise de estado de protocolo: este tipo de método de detecção identifica desvios de estados de protocolo comparando eventos observados com perfis predefinidos.