Système de prévention des intrusions basé sur le réseau (Nips)

Définition - Que signifie NIPS (Network-based Intrusion Prevention System)?

Un système de prévention des intrusions basé sur le réseau (NIPS) est un système utilisé pour surveiller un réseau ainsi que pour protéger la confidentialité, l'intégrité et la disponibilité d'un réseau. Ses principales fonctions incluent la protection du réseau contre les menaces, telles que le déni de service (DoS) et l'utilisation non autorisée.

Le NIPS surveille le réseau pour détecter toute activité malveillante ou trafic suspect en analysant l'activité du protocole. Une fois le NIPS installé dans un réseau, il est utilisé pour créer des zones de sécurité physiques. Ceci, à son tour, rend le réseau intelligent et discerne rapidement le bon trafic du mauvais trafic. En d'autres termes, le NIPS devient comme une prison pour le trafic hostile tel que les chevaux de Troie, les vers, les virus et les menaces polymorphes.

Un système de prévention des intrusions (IPS) se trouve en ligne sur le réseau et surveille le trafic. Lorsqu'un événement suspect se produit, il prend des mesures en fonction de certaines règles prescrites. Un IPS est un appareil actif et en temps réel contrairement à un système de détection d'intrusion, qui n'est pas en ligne et est un appareil passif. Les IPS sont considérés comme l'évolution du système de détection d'intrusion.

Definir Tech explique le système de prévention des intrusions basé sur le réseau (NIPS)

    Les NIPS sont fabriqués à l'aide de circuits intégrés (ASIC) et de processeurs réseau spécifiques aux applications à haut débit, qui sont utilisés pour le trafic réseau à haut débit car ils sont conçus pour exécuter des dizaines de milliers d'instructions et de comparaisons en parallèle, contrairement à un microprocesseur, qui exécute une instruction à la fois.

    La majorité des NIPS utilisent l'une des trois méthodes de détection suivantes:

    • Détection basée sur les signatures: les signatures sont des modèles d'attaque prédéterminés et préconfigurés. Cette méthode de détection surveille le trafic réseau et le compare aux signatures préconfigurées afin de trouver une correspondance. Après avoir réussi à localiser une correspondance, le NIPS prend la prochaine action appropriée. Ce type de détection ne parvient pas à identifier les menaces d'erreur zero-day. Cependant, il s'est avéré très efficace contre les attaques de paquets uniques.
    • Détection basée sur les anomalies: cette méthode de détection crée une base de référence sur les conditions moyennes du réseau. Une fois qu'une ligne de base a été créée, le système échantillonne par intermittence le trafic réseau sur la base d'une analyse statistique et compare l'échantillon à la ligne de base créée. Si l'activité se trouve en dehors des paramètres de base, NIPS prend les mesures nécessaires.
    • Détection d'analyse de l'état du protocole: ce type de méthode de détection identifie les écarts des états du protocole en comparant les événements observés avec des profils prédéfinis.