En realidad, IPS / IDS es parte de los motores de seguridad en los productos host de Symantec. Creo que está pidiendo la diferencia entre las tecnologías de detección de archivos e IDS / IPS. Pensemos en tres escenarios:
- Descarga un archivo nuevo y el sistema de detección o reputación de archivos sabe que el archivo es malo. El archivo está bloqueado.
- Descarga un nuevo archivo y el sistema de detección de archivos no sabe que está mal y el sistema de reputación no está seguro (todavía no hay suficiente información), por lo que permite que se ejecute. IPS / IDS puede ver un mal comportamiento una vez que se está ejecutando y detenerlo, y luego permitir que Symantec sepa que la reputación debería ser realmente mala para que otros estén protegidos.
- Existe una vulnerabilidad en un software que está ejecutando o que forma parte del sistema operativo y está aceptando datos de la red. Supongamos que hay un error en Skype para este ejemplo. IDS / IPS puede detectar el contenido malicioso de la red y bloquear el contenido, pero no detener la aplicación (la aplicación es buena, solo tiene una vulnerabilidad de la que IDS / IPS puede protegerlo)