Un sistema de detección de intrusos ( IDS ; también sistema de protección contra intrusos o IPS ) es un dispositivo o aplicación de software que monitorea una red o sistemas en busca de actividad maliciosa o violaciones de políticas. [1] Cualquier actividad de intrusión o violación generalmente se informa a un administrador o se recopila de forma centralizada mediante un sistema de gestión de eventos e información de seguridad (SIEM) . Un sistema SIEM combina salidas de múltiples fuentes y utiliza técnicas de filtrado de alarmas para distinguir la actividad maliciosa de las falsas alarmas. [2]
Los tipos de IDS varían en alcance desde computadoras individuales hasta grandes redes. [3] Las clasificaciones más comunes son los sistemas de detección de intrusos en la red ( NIDS ) y los sistemas de detección de intrusos basados en host ( HIDS ). Un sistema que supervisa archivos importantes del sistema operativo es un ejemplo de HIDS, mientras que un sistema que analiza el tráfico de red entrante es un ejemplo de NIDS. También es posible clasificar los IDS por enfoque de detección. Las variantes más conocidas son la detección basada en firmas (que reconoce malos patrones, como malware) y detección basada en anomalías (detectar desviaciones de un modelo de tráfico "bueno", que a menudo se basa en el aprendizaje automático). Otra variante común es la detección basada en la reputación (reconociendo la amenaza potencial según las puntuaciones de reputación). Algunos productos IDS tienen la capacidad de responder a las intrusiones detectadas. Los sistemas con capacidades de respuesta suelen denominarse sistemas de prevención de intrusiones . [4] Los sistemas de detección de intrusos también pueden servir para fines específicos al aumentarlos con herramientas personalizadas, como el uso de un señuelo para atraer y caracterizar el tráfico malicioso. [5]
Aunque ambos se relacionan con la seguridad de la red, un IDS difiere de un firewall en que un firewall de red tradicional (distinto de un Firewall de última generación ) usa un conjunto estático de reglas para permitir o denegar conexiones de red. Previene implícitamente las intrusiones, suponiendo que se haya definido un conjunto adecuado de reglas. Esencialmente, los cortafuegos limitan el acceso entre redes para evitar intrusiones y no señalan un ataque desde el interior de la red. Un IDS describe una intrusión sospechosa una vez que se ha producido y señala una alarma. Un IDS también vigila los ataques que se originan dentro de un sistema. Esto se logra tradicionalmente examinando las comunicaciones de red, identificando heurísticasy patrones (a menudo conocidos como firmas) de ataques informáticos comunes, y tomar medidas para alertar a los operadores. Un sistema que finaliza las conexiones se denomina sistema de prevención de intrusiones y realiza un control de acceso como un firewall de capa de aplicación . [6]
Los IDS se pueden clasificar según el lugar donde se lleva a cabo la detección (red o host ) o el método de detección que se emplea (basado en firmas o anomalías). [7]