Sistema de detecção de intrusos ou Sistema de detecção de intrusão (Intrusion detection system - IDS) refere-se aos meios técnicos de descobrir em uma rede acessos não autorizados que podem indicar a ação de um cracker ou até mesmo de funcionários mal intencionados (atividade maliciosa).
De modo simples, um IDS é uma ferramenta capaz de detectar atividade maliciosa através do monitoramento constante de um segmento de rede ou de chamadas de sistema em um sistema operacional.
Existem diversos IDS no mercado com componentes e funcionamento distintos, porém normalmente encontramos os seguintes componentes em um IDS:
Sensor
- Responsável por coletar informações sobre a rede, sistema operacional ou aplicação, para ser utilizado como parâmetro de entrada para o sistema de detecção.
|
Engine
- Responsável por analisar as informações coletadas e comparar com um padrão conhecido, para assim, determinar se é um evento normal ou malicioso. Algumas engines trabalham com elementos mais determinísticos, como assinaturas de ataque. Outras trabalham com redes neurais e sistemas estatísticos, e podem detectar ataques desconhecidos.
|
Console
- Interface para o administrador configurar o funcionamento da ferramenta.
|
Esses componentes podem estar em uma única máquina (centralizados) ou distribuídos.
Existem ainda diferentes tipos de IDS de acordo com o modo de funcionamento, local e forma de atuação frente a um ataque que serão vistos a seguir.
Copyright © 2014 AIEC.