¿Qué es el sistema de prevención de intrusiones (nips) basado en la red? - definición de techopedia

Definición: ¿Qué significa el Sistema de prevención de intrusiones basado en red (NIPS)?

Un sistema de prevención de intrusiones basado en la red (NIPS) es un sistema utilizado para monitorear una red, así como para proteger la confidencialidad, integridad y disponibilidad de una red. Sus funciones principales incluyen proteger la red de amenazas, como la denegación de servicio (DoS) y el uso no autorizado.

El NIPS monitorea la red en busca de actividad maliciosa o tráfico sospechoso mediante el análisis de la actividad del protocolo. Una vez que el NIPS se instala en una red, se utiliza para crear zonas de seguridad física. Esto, a su vez, hace que la red sea inteligente y distinga rápidamente el buen tráfico del mal tráfico. En otras palabras, el NIPS se convierte en una prisión para el tráfico hostil, como troyanos, gusanos, virus y amenazas polimórficas.

Un sistema de prevención de intrusiones (IPS) se encuentra en línea en la red y monitorea el tráfico. Cuando ocurre un evento sospechoso, toma medidas basadas en ciertas reglas prescritas. Un IPS es un dispositivo activo y en tiempo real a diferencia de un sistema de detección de intrusos, que no está en línea y es un dispositivo pasivo. Los IPS se consideran la evolución del sistema de detección de intrusos.

Techopedia explica el sistema de prevención de intrusiones basado en red (NIPS)

Los NIPS se fabrican utilizando circuitos integrados de alta velocidad específicos de la aplicación (ASIC) y procesadores de red, que se utilizan para el tráfico de red de alta velocidad, ya que están diseñados para ejecutar decenas de miles de instrucciones y comparaciones en paralelo, a diferencia de un microprocesador, que ejecuta Una instrucción a la vez.

La mayoría de los NIPS utilizan uno de los tres métodos de detección de la siguiente manera:

• Detección basada en firmas: las firmas son patrones de ataque predeterminados y preconfigurados. Este método de detección monitorea el tráfico de red y lo compara con las firmas preconfiguradas para encontrar una coincidencia. Al localizar con éxito una coincidencia, el NIPS toma la siguiente acción apropiada. Este tipo de detección no puede identificar las amenazas de error de día cero. Sin embargo, ha demostrado ser muy bueno contra ataques de paquetes únicos.
• Detección basada en anomalías: este método de detección crea una línea base sobre las condiciones promedio de la red. Una vez que se ha creado una línea base, el sistema muestrea de manera intermitente el tráfico de la red sobre la base de análisis estadísticos y compara la muestra con la línea base creada. Si se encuentra que la actividad está fuera de los parámetros de la línea de base, NIPS toma las medidas necesarias.
• Detección de análisis de estado de protocolo: este tipo de método de detección identifica las desviaciones de los estados de protocolo mediante la comparación de eventos observados con perfiles predefinidos.