Attualmente sto leggendo su Intrusion Detection Systems (IDS) e ho notato un'enorme varietà di definizioni per il termine di Deep Packet Inspection. Soprattutto il NIST mostra tre diverse tecniche nel loro articolo " Guida ai sistemi di rilevamento e prevenzione delle intrusioni " che sono:
- Rilevamento basato su firma
- Rilevamento basato sull'anomalia
- Analisi del protocollo di stato
In una nota a piè di pagina si afferma che Stateful Protocol Analysis è fondamentalmente solo un altro termine per DPI, che mi sembra soddisfacente. Tuttavia, il rilevamento basato sulla firma dovrebbe rilevare comportamenti malevoli confrontando le firme di ad es. pacchetti con un determinato Dataset di attacchi noti.
A mio avviso, è necessario decomprimere i dati in caso di ID di rete fino al livello dell'applicazione e analizzare effettivamente i dati del pacchetto, che mi sembra una definizione DPI.
D'altra parte DPI è definito in varie fonti come la somma di IDS / IPS e un firewall con stato. Ogni definizione del termine è in qualche modo dipendente dall'altro termine. Qualcuno può darmi una definizione chiara e corretta di IDS rispetto a DPI e viceversa?