Un IDS o sistema de detección de intrusos (por sus siglas en inglés, intrusion detection system) es aquel que monitorea la red y los dispositivos conectados a ella para detectar una posible intrusión y alertar al administrador del sistema. Sin embargo, este sistema no está capacitado para imponer medida o acción alguna contra el intruso.
De este modo, el IDS busca actividades sospechosas usando los datos que posee sobre firmas de amenazas o comportamientos irregulares dentro de la actividad normal de la red. Una vez identificada la intrusión, el sistema emite una alerta para que los administradores tomen las medias que estimen oportunas.
Por lo tanto, para que un IDS o sistema de detección de intrusos efectúe su función de manera correcta, este debe ser capaz de analizarse a sí mismo y no suponer una sobrecarga para los recursos del sistema. Además, como parte de sus peculiaridades, también debe adaptarse a cualquier sistema operativo y seguir en funcionamiento incluso ante una caída del sistema.
Tipos de IDS o sistemas de detección de intrusos
Los IDS se pueden clasificar según el sistema que monitorean (NIDS e HIDS) y en función de cómo se implementan (SIDS y SIDA). Por lo tanto, existen cuatro tipos de sistemas de detección de intrusos.
- Sistema de detección de intrusos en la red (NIDS): Monitorea todo el tráfico de la red en un segmento estratégico para buscar actividades sospechosas y compararla con los ataques conocidos.
- Sistema de detección de intrusos en host (HIDS): Monitorea las características de un host y los eventos que ocurren en él en busca de actividades maliciosas o sospechosas.
- Sistema de detección de intrusos basados en firmas (SIDS): Analiza los paquetes de datos que entran en la red y los compara con firmas de amenazas conocidas almacenadas en su base de datos.
- Sistema de detección de intrusos basado en anomalías (SIDA): Monitoriza el tráfico de red en busca de comportamientos o actividades anómalas, aunque no coincidan con firmas.
Archivado en: