Distinción de DPI e IDS

Navega tus respuestas
0

Actualmente estoy leyendo sobre Sistemas de detección de intrusos (IDS) y noté una gran variedad de definiciones para el término Inspección de paquetes profundos. Especialmente el NIST muestra tres técnicas diferentes en su documento " Guía para los sistemas de prevención y detección de intrusos " que son:

  • Detección basada en firmas
  • Detección basada en anomalías
  • Análisis de protocolo de estado

En una nota a pie de página, afirman que el análisis de protocolo de estado es básicamente otro término para DPI, lo que me parece bien. Sin embargo, se supone que la Detección basada en firmas detecta el comportamiento malicioso al comparar firmas de, por ejemplo, paquetes con un determinado conjunto de datos de ataques conocidos.

En mi entendimiento, esto requiere desempaquetar los datos en el caso de los IDS de red hasta la capa de aplicación y analizar realmente los datos del paquete, lo que me parece una definición de DPI.

Por otra parte, el DPI se define en varias fuentes como la suma de IDS / IPS y un firewall con estado. Cada definición del término depende de alguna manera del otro término. ¿Alguien puede darme una definición clara y correcta de IDS con respecto a DPI y viceversa?

    
pregunta Lukas 10.02.2016 - 10:34
fuente

2 respuestas

3

IDS puede abarcar la inspección profunda de paquetes, o una simple mirada a los tipos de conexión, o cualquier otra cosa. Puede tener ID de red o ID de host, según en qué desee centrar su atención.

  • DPI es un tipo muy específico de análisis de contenido de paquetes para entender cuál es el propósito de la comunicación.
  • La detección basada en firmas no requiere ningún análisis profundo de paquetes, es más simple y más rápido que DPI (que también se puede conocer como análisis de protocolo de estado)

No existe una relación de uno a uno entre IDS o DPI, o de hecho, ninguna otra sigla promocionada por las empresas. Son simplemente formas de describir un servicio o producto, y diferentes proveedores usan términos diferentes.

    
respondido por el Rory Alsop 10.02.2016 - 10:49
fuente
0
  

¿Puede alguien proporcionarme una definición clara y correcta de IDS con respecto a DPI y viceversa?

Creo que no hay ninguno.

IDS, IPS, Firewall, NGFW, UTM, DPI ... son términos que describen una tarea pero no cómo se implementa técnicamente la tarea. Esto da como resultado una amplia variedad de soluciones que utilizan los mismos términos y palabras de moda, pero varían mucho en cuanto a las capacidades y las implementaciones técnicas.

Encontrará un DPI rápido y sucio para la clasificación de paquetes en redes de telecomunicaciones, de modo que los paquetes puedan priorizarse. Encontrará una calidad diferente de DPI en IDS, IPS, NGFW ... para que puedan ver el tráfico de la aplicación para detectar ataques. Lo único que todos estos DPI tienen en común es que se ven más profundos que solo en origen y destino . Pero no dice nada de cuán profundos se ven, lo buenos que son para mirar y para qué se puede usar el resultado, es decir, solo la clasificación o también la detección de ataques.

Lo mismo es cierto para IDS, que solo dice que de alguna manera detecta algún tipo de intrusión. No dice nada sobre el nivel de detección (basado en paquetes vs. basado en flujo), sobre la profundidad y la calidad del DPI utilizado, etc. Pero puede decir que cada IDS probablemente empleará algunas técnicas de DPI .

    
respondido por el Steffen Ullrich 10.02.2016 - 16:15
fuente

Lea otras preguntas en las etiquetas

Smartphone 2FA se ha roto? Tipos de archivos y formas que pueden infectar dispositivos Android con malware [cerrado]