IPS

Com a evolução tecnológica era esperado que em algum ponto os IDSs além de apenas detectar iriam também tomar medidas para defender o sistema monitorado de um possível ataque. Esta nova classe de softwares se chama IPS - Intrusion Prevention System e, como o nome sugere, eles além de detectar, também atuam prevenindo ataques, podem também ser baseados em rede e/ou host.

Um NIDS - Network IDS pode adotar certos métodos para essa prevenção, como:

• Enviando pacotes para reconfiguração do firewall e/ou roteadores
• Envio de mensagens “TCP reset” ao atacante, para tentar finalizar a conexão.

É necessário ressaltar que ele não substitui um firewall. NIPs são comumente referenciados como dispositivos inline, pois são fixados no caminho no qual os pacotes passam para adentrar a rede.

Os HIPSs - Host IPSs - atuam como um intermediário entre todos os comandos chamados num sistema e seu Kernel, semelhante a um modo inline, ele só direciona as chamadas que julgar não maliciosas ao Kernel. Pode por exemplo, após um ataque ou infecção atuar junto ao sistema operacional para remover qualquer tipo de vírus ou worm encontrado e redefinir as regras do firewall local.

Um ponto fraco do IPSs é que são visíveis aos atacantes, que podem tomar medidas para tentar burlar seu funcionamento.