Definición: ¿Qué significa Sistema de detección de intrusiones (IDS)?
Un sistema de detección de intrusiones (IDS) es un tipo de software de seguridad diseñado para alertar automáticamente a los administradores cuando alguien o algo está tratando de comprometer el sistema de información a través de actividades maliciosas o violaciones de políticas de seguridad.
Un IDS funciona monitoreando la actividad del sistema mediante el examen de las vulnerabilidades en el sistema, la integridad de los archivos y la realización de un análisis de patrones basados en ataques ya conocidos. También monitorea automáticamente Internet para buscar cualquiera de las amenazas más recientes que podrían resultar en un ataque futuro.
Techinfo explica el sistema de detección de intrusiones (IDS)
Hay varias formas en que un IDS realiza la detección. En la detección basada en firmas, un patrón o firma se compara con eventos anteriores para descubrir amenazas actuales. Esto es útil para encontrar amenazas ya conocidas, pero no ayuda a encontrar amenazas desconocidas, variantes de amenazas o amenazas ocultas.
Otro tipo de detección es la detección basada en anomalías, que compara la definición o los rasgos de una acción normal con las características que marcan el evento como anormal.
Hay tres componentes principales de un IDS:
- Sistema de detección de intrusiones en la red (NIDS): realiza un análisis del tráfico en una subred completa y lo hará coincidir con el tráfico que pasa con los ataques ya conocidos en una biblioteca de ataques conocidos.
- Sistema de detección de intrusiones de nodo de red (NNIDS): es similar a NIDS, pero el tráfico solo se supervisa en un único host, no en una subred completa.
- Host Intrusion Detection System (HIDS): toma una "imagen" de todo el conjunto de archivos del sistema y la compara con una imagen anterior. Si hay diferencias significativas, como archivos faltantes, alerta al administrador.