Distinzione di DPI e IDS

0

Attualmente sto leggendo su Intrusion Detection Systems (IDS) e ho notato un'enorme varietà di definizioni per il termine di Deep Packet Inspection. Soprattutto il NIST mostra tre diverse tecniche nel loro articolo " Guida ai sistemi di rilevamento e prevenzione delle intrusioni " che sono:

  • Rilevamento basato su firma
  • Rilevamento basato sull'anomalia
  • Analisi del protocollo di stato

In una nota a piè di pagina si afferma che Stateful Protocol Analysis è fondamentalmente solo un altro termine per DPI, che mi sembra soddisfacente. Tuttavia, il rilevamento basato sulla firma dovrebbe rilevare comportamenti malevoli confrontando le firme di ad es. pacchetti con un determinato Dataset di attacchi noti.

A mio avviso, è necessario decomprimere i dati in caso di ID di rete fino al livello dell'applicazione e analizzare effettivamente i dati del pacchetto, che mi sembra una definizione DPI.

D'altra parte DPI è definito in varie fonti come la somma di IDS / IPS e un firewall con stato. Ogni definizione del termine è in qualche modo dipendente dall'altro termine. Qualcuno può darmi una definizione chiara e corretta di IDS rispetto a DPI e viceversa?

    
posta Lukas 10.02.2016 - 10:34
fonte

2 risposte

3

Gli ID possono coprire l'ispezione approfondita dei pacchetti, o una semplice occhiata ai tipi di connessione, o qualsiasi altra via di mezzo. Puoi avere ID di rete o ID host, a seconda di cosa vuoi focalizzare la tua attenzione.

  • DPI è un tipo molto specifico di analisi dei contenuti dei pacchetti per capire quale sia lo scopo della comunicazione.
  • Signature Based Detection non richiede alcuna analisi deep packet - è più semplice e veloce di DPI (che può anche essere conosciuto come Stateful Protocol Analysis)

Non esiste una relazione uno a uno tra IDS o DPI, o in realtà nessun altro acronimo propagandato dalle aziende. Sono semplicemente dei modi per descrivere un servizio o un prodotto e diversi fornitori utilizzano termini diversi.

    
risposta data 10.02.2016 - 10:49
fonte
0

Can someone give me a clear and correct definition of IDS in respect to DPI and vice versa?

Penso che non ce ne siano.

IDS, IPS, Firewall, NGFW, UTM, DPI ... sono termini che descrivono un compito ma non come è tecnicamente implementato il compito. Ciò si traduce in un'ampia varietà di soluzioni che utilizzano tutti gli stessi termini e parole d'ordine ma variano molto nelle capacità e nelle implementazioni tecniche.

Troverai DPI rapido e sporco per la classificazione dei pacchetti nelle reti di telecomunicazioni, in modo che i pacchetti possano essere priorizzati. Troverai una diversa qualità di DPI in IDS, IPS, NGFW ... in modo che possano esaminare il traffico delle applicazioni per rilevare gli attacchi. L'unica cosa che tutti questi DPI hanno in comune è che sembrano più profondi di solo all'origine e alla destinazione . Ma non dice nulla di quanto sono profondi, quanto sono bravi a guardare e a cosa può essere usato il risultato - cioè solo classificazione o anche rilevamento degli attacchi.

Lo stesso vale per IDS - che dice solo che in qualche modo rileva una sorta di intrusione. Non dice nulla sul livello di rilevamento (basato sul pacchetto o sul flusso), sulla profondità e la qualità del DPI utilizzato, ecc. Ma puoi dire che ogni IDS probabilmente impiegherà alcune tecniche DPI .

    
risposta data 10.02.2016 - 16:15
fonte

Leggi altre domande sui tag