Estaba revisando el artículo de wikipedia sobre sistemas de prevención de intrusiones.
Indica dos de los cuatro tipos de IPS de la siguiente manera:
Sistema de prevención de intrusiones basado en la red (NIPS): controla la red completa en busca de tráfico sospechoso mediante el análisis de la actividad del protocolo.
Análisis del comportamiento de la red (NBA): examina el tráfico de la red para identificar amenazas que generan flujos de tráfico inusuales, como los ataques de denegación de servicio distribuido (DDoS), ciertas formas de malware y violaciones de políticas.
¿En qué se diferencian exactamente estos dos tipos entre sí? Para ser más específicos, ¿cuál es la diferencia entre analizar la "actividad del protocolo" y examinar el "tráfico de red"?
Mi entendimiento actual es que un NIPS puede profundizar más en los paquetes (por ejemplo, posiblemente examinar múltiples contenidos de capa OSI) y verificar si alguno de los parámetros no es válido / está prohibido, etc. Por otra parte, una NBA puede concentrarse en parámetros como paquetes por segundo, número de conexiones por host, etc. ¿Es correcto este entendimiento?