Definição – O que significa Sistema de prevenção de intrusões baseado em rede (NIPS)?
Um sistema de prevenção de intrusão baseado em rede (NIPS) é um sistema usado para monitorar uma rede, bem como proteger a confidencialidade, integridade e disponibilidade de uma rede. Suas principais funções incluem proteger a rede de ameaças, como negação de serviço (DoS) e uso não autorizado.
O NIPS monitora a rede em busca de atividades maliciosas ou tráfego suspeito, analisando a atividade do protocolo. Depois que o NIPS é instalado em uma rede, ele é usado para criar zonas de segurança física. Isso, por sua vez, torna a rede inteligente e distingue rapidamente o tráfego bom do tráfego ruim. Em outras palavras, o NIPS se torna uma prisão para o tráfego hostil, como cavalos de Tróia, worms, vírus e ameaças polimórficas.
Um sistema de prevenção de intrusão (IPS) fica em linha na rede e monitora o tráfego. Quando ocorre um evento suspeito, ele age com base em certas regras prescritas. Um IPS é um dispositivo ativo e em tempo real, ao contrário de um sistema de detecção de intrusão, que não é embutido e é um dispositivo passivo. Os IPSs são considerados a evolução do sistema de detecção de intrusão.
Definirtec explica Sistema de prevenção de intrusão baseado em rede (NIPS)
Os NIPSs são fabricados usando circuitos integrados específicos de aplicativo de alta velocidade (ASICs) e processadores de rede, que são usados para tráfego de rede de alta velocidade, uma vez que são projetados para executar dezenas de milhares de instruções e comparações em paralelo, ao contrário de um microprocessador, que executa uma instrução de cada vez.
A maioria dos NIPSs utiliza um dos três métodos de detecção a seguir:
- Detecção baseada em assinatura: as assinaturas são padrões de ataque predeterminados e pré-configurados. Este método de detecção monitora o tráfego da rede e o compara com as assinaturas pré-configuradas para encontrar uma correspondência. Ao localizar uma correspondência com sucesso, o NIPS executa a próxima ação apropriada. Esse tipo de detecção falha em identificar ameaças de erro de dia zero. No entanto, provou ser muito bom contra ataques de pacote único.
- Detecção baseada em anomalia: este método de detecção cria uma linha de base nas condições médias da rede. Depois que uma linha de base é criada, o sistema faz uma amostragem intermitente do tráfego de rede com base na análise estatística e compara a amostra com a linha de base criada. Se a atividade estiver fora dos parâmetros de linha de base, o NIPS toma as medidas necessárias.
- Detecção de análise de estado de protocolo: Este tipo de método de detecção identifica desvios de estados de protocolo, comparando eventos observados com perfis predefinidos.