Un sistema di prevenzione delle intrusioni (IPS) monitora i pacchetti di dati di una rete alla ricerca di attività sospette e tenta di agire utilizzando criteri specifici. Funziona in qualche modo come un sistema di rilevamento delle intrusioni che include un firewall per prevenire gli attacchi. Invia un avviso a un amministratore di rete o di sistema quando viene rilevato qualcosa di sospetto, consentendo all’amministratore di selezionare un’azione da intraprendere quando si verifica l’evento. I sistemi di prevenzione delle intrusioni possono monitorare un’intera rete, i protocolli di rete wireless, il comportamento della rete e il traffico di un singolo computer. Ciascun IPS utilizza metodi di rilevamento specifici per analizzare i rischi.
A seconda del modello IPS e delle sue caratteristiche, un sistema di prevenzione delle intrusioni può rilevare varie violazioni della sicurezza. Alcuni possono rilevare la diffusione di malware in una rete, la copia di file di grandi dimensioni tra due sistemi e l’uso di attività sospette come la scansione delle porte. Dopo che l’IPS ha confrontato il problema con le sue regole di sicurezza, registra ogni evento e ne documenta la frequenza. Se l’amministratore di rete ha configurato l’IPS per eseguire un’azione specifica in base all’incidente, il sistema di prevenzione delle intrusioni esegue l’azione assegnata. Un avviso di base viene inviato all’amministratore in modo che possa rispondere in modo appropriato o visualizzare ulteriori informazioni sull’IPS, se necessario.
Esistono quattro tipi generali di sistemi di prevenzione delle intrusioni, inclusi quelli basati su rete, wireless, analisi del comportamento di rete e basati su host. Un IPS basato sulla rete analizza vari protocolli di rete ed è comunemente utilizzato su server di accesso remoto, server di rete privata virtuale e router. Un IPS wireless controlla le attività sospette sulle reti wireless e cerca anche le reti wireless non autorizzate in un’area. L’analisi del comportamento della rete cerca le minacce che potrebbero distruggere una rete o diffondere malware ed è comunemente utilizzata con reti private che si connettono a Internet. Un IPS basato su host funziona su un singolo sistema e cerca strani processi applicativi, traffico di rete insolito verso l’host, modifiche del file system e modifiche alla configurazione.
Esistono tre metodi di rilevamento che un sistema di prevenzione delle intrusioni può utilizzare e molti sistemi utilizzano una combinazione di tutti e tre. Il rilevamento basato sulla firma funziona bene per rilevare le minacce note confrontando un evento con una firma già documentata per determinare se si è verificata una violazione della sicurezza. Il rilevamento basato sulle anomalie cerca attività anomale rispetto agli eventi normali che si verificano su un sistema o una rete ed è particolarmente utile per identificare le minacce sconosciute. L’analisi del protocollo stateful cerca l’attività che va contro il modo in cui viene normalmente utilizzato un protocollo specifico.