I sistemi di rilevamento e prevenzione delle intrusioni osservano tutte le attività all'interno di una rete, registrano tali attività e cercano intrusioni e attacchi. Le soluzioni di rilevamento e prevenzione delle intrusioni possono essere implementate separatamente o insieme, sebbene averle entrambe sia spesso più vantaggioso perché sia il rilevamento che la risposta sono importanti per la sicurezza della rete. Nel tempo, i sistemi di rilevamento delle intrusioni (IDS) e i sistemi di prevenzione delle intrusioni (IPS) si sono fusi per diventare sistemi di rilevamento e prevenzione delle intrusioni (IDPS).
IDS
I sistemi di rilevamento delle intrusioni monitorano il traffico di rete e registrano tutte le attività nei registri di sistema, che possono essere studiati per modelli. Un sistema di rilevamento delle intrusioni è noto per la sua capacità di studiare l'attività di rete e quindi rilevare comportamenti insoliti. Osserva la rete per diversi modelli di traffico, inclusi quelli caratteristici di worm o virus, e avvisa i team IT o gli amministratori di attività o attacchi sospetti. IDS può essere programmato per aspettarsi un determinato comportamento di rete normale e ciò che si verifica tipicamente all'interno di segmenti della rete; la sua funzione di rilevamento delle anomalie segnala azioni insolite che non sono in linea con la programmazione.
IDS vede l'aspetto di un'intrusione e utilizza i record precedenti, chiamati firme di intrusione, per vedere se un nuovo modello potrebbe anche essere un'intrusione. IDS accede a questi dati tramite i file di registro conservati dalla rete. Ma questa è la debolezza di un sistema di rilevamento delle intrusioni, che si limita anche all'osservazione delle intrusioni che sono già avvenute.
Il software IDS ha diversi livelli e prezzi; può anche essere installato come hardware in un sistema informatico.
IPS
I sistemi di prevenzione delle intrusioni analizzano il traffico di rete, filtrano le richieste e consentono o bloccano le richieste di conseguenza. L'IPS è più proattivo di IDS perché può rispondere al comportamento. Può essere opprimente per i team IT, tuttavia, perché qualsiasi attività strana, anche innocua, sovraccaricherà il personale tecnologico con avvisi. Se un IPS non è intelligente e non può interpretare bene l'attività di rete, sarà quasi impossibile per gli esseri umani ordinare attraverso la raffica di avvisi di sistema.
I sistemi di prevenzione delle intrusioni possono essere soggetti a falsi positivi e negativi: un falso positivo blocca un pacchetto legittimo che sembra solo sospetto e un falso negativo perde il traffico dannoso. L'apprendimento automatico implementato nella prevenzione delle intrusioni può aiutare il sistema a diventare più accurato se la tecnologia apprende meglio i modelli di rete e rileva i problemi reali in modo più accurato. Un'automazione più avanzata può ridurre il numero di falsi positivi e negativi. I team di sicurezza di solito devono perfezionare le regole per evitare di attivare avvisi falsi o insignificanti.
I servizi di prevenzione delle intrusioni possono essere basati su rete o su host. Gli IPS basati sulla rete si trovano vicino al firewall e monitorano il traffico di rete. Gli IPS basati su host sono più vicini a un computer o altro endpoint (vicino all'host).
Utilizzo di sistemi di rilevamento e prevenzione delle intrusioni (IDPS)
Come accennato in precedenza, il rilevamento e la prevenzione delle intrusioni sono spesso raggruppati automaticamente, sebbene possano essere implementati come soluzioni separate. Tuttavia sono più efficaci insieme. Il rilevamento di possibili attività anomale all'interno del file di registro di un'applicazione non è utile se il sistema non è in grado di intraprendere azioni per tenere traccia e reprimere un intruso. E senza un software per monitorare tutto il traffico di rete, i sistemi di prevenzione non saranno in grado di individuare le attività dannose in modo altrettanto efficace. Sebbene IDPS non sia la soluzione perfetta per tutta la sicurezza della rete, è meglio implementare sia il rilevamento che la prevenzione se si prevede di utilizzarne uno.