Stavo analizzando l'articolo di wikipedia su Intrusion Prevention Systems.
Indica due dei quattro tipi di IPS come segue:
Sistema di prevenzione delle intrusioni basato sulla rete (NIPS): controlla l'intera rete per traffico sospetto analizzando l'attività del protocollo.
Analisi del comportamento di rete (NBA): esamina il traffico di rete per identificare le minacce che generano flussi di traffico insoliti, come attacchi DDoS (distributed denial of service), alcune forme di malware e violazioni delle norme.
In che modo questi due tipi sono diversi l'uno dall'altro? Per essere più specifico, qual è la differenza tra l'analisi di "attività del protocollo" e l'esame del "traffico di rete"?
La mia attuale comprensione è che un NIPS può scavare più a fondo nei pacchetti (ad es. esaminare eventualmente più contenuti del livello OSI) e verificare se uno qualsiasi dei parametri non è valido / proibito ecc. D'altra parte, una NBA può concentrarsi su parametri come pacchetti al secondo, numero di connessioni per host ecc. La comprensione è corretta?