Un sistema de detección de intrusos (IDS) es un sistema que monitorea el tráfico de la red en busca de actividad sospechosa y emite alertas cuando se descubre dicha actividad. Es una aplicación de software que escanea una red o un sistema en busca de actividad dañina o incumplimiento de políticas. Cualquier empresa maliciosa o violación normalmente se informa a un administrador o se recopila de forma centralizada mediante un sistema de gestión de eventos e información de seguridad (SIEM). Un sistema SIEM integra salidas de múltiples fuentes y utiliza técnicas de filtrado de alarmas para diferenciar la actividad maliciosa de las falsas alarmas.
Aunque los sistemas de detección de intrusos monitorean las redes en busca de actividad potencialmente maliciosa, también están dispuestos a falsas alarmas. Por lo tanto, las organizaciones necesitan ajustar sus productos IDS cuando los instalan por primera vez. Significa configurar correctamente los sistemas de detección de intrusos para reconocer cómo se ve el tráfico normal en la red en comparación con la actividad maliciosa.
Los sistemas de prevención de intrusiones también monitorean los paquetes de red que ingresan al sistema para verificar las actividades maliciosas involucradas en él y enviar notificaciones de advertencia de inmediato.
Clasificación del Sistema de Detección de Intrusos: Los
IDS se clasifican en 5 tipos:
- Sistema de detección de intrusos en la red (NIDS):
los sistemas de detección de intrusos en la red (NIDS) se configuran en un punto planificado dentro de la red para examinar el tráfico de todos los dispositivos en la red. Realiza una observación del tráfico que pasa en toda la subred y compara el tráfico que pasa en las subredes con la colección de ataques conocidos. Una vez que se identifica un ataque o se observa un comportamiento anormal, la alerta se puede enviar al administrador. Un ejemplo de un NIDS es instalarlo en la subred donde se encuentran los cortafuegos para ver si alguien está intentando descifrar el cortafuegos. - Sistema de detección de intrusos en el host (HIDS):
los sistemas de detección de intrusos en el host (HIDS) se ejecutan en hosts o dispositivos independientes en la red. Un HIDS monitorea los paquetes entrantes y salientes del dispositivo únicamente y alertará al administrador si se detecta actividad sospechosa o maliciosa. Toma una instantánea de los archivos del sistema existentes y la compara con la instantánea anterior. Si los archivos del sistema analítico se editaron o eliminaron, se envía una alerta al administrador para que investigue. Se puede ver un ejemplo del uso de HIDS en máquinas de misión crítica, que no se espera que cambien su diseño. - Sistema de detección de intrusos basado en protocolo (PIDS):
El sistema de detección de intrusos basado en protocolo (PIDS) comprende un sistema o agente que residiría constantemente en la parte frontal de un servidor, controlando e interpretando el protocolo entre un usuario/dispositivo y el servidor. Intenta asegurar el servidor web monitoreando regularmente el flujo del protocolo HTTPS y aceptando el protocolo HTTP relacionado. Como HTTPS no está encriptado y antes de ingresar instantáneamente a su capa de presentación web, este sistema debería residir en esta interfaz, para usar HTTPS. - Sistema de detección de intrusos basado en el protocolo de aplicación (APIDS):
el sistema de detección de intrusos basado en el protocolo de aplicación (APIDS) es un sistema o agente que generalmente reside dentro de un grupo de servidores. Identifica las intrusiones al monitorear e interpretar la comunicación en protocolos específicos de la aplicación. Por ejemplo, esto monitorearía el protocolo SQL explícito para el middleware mientras realiza transacciones con la base de datos en el servidor web. - Sistema
híbrido de detección de intrusos: el sistema híbrido de detección de intrusos se realiza mediante la combinación de dos o más enfoques del sistema de detección de intrusos. En el sistema híbrido de detección de intrusos, los datos del sistema o del agente host se combinan con la información de la red para desarrollar una vista completa del sistema de la red. El sistema híbrido de detección de intrusos es más eficaz en comparación con otros sistemas de detección de intrusos. Prelude es un ejemplo de IDS híbrido.
Método de detección de IDS:
- Método basado en
firmas: el IDS basado en firmas detecta los ataques en función de patrones específicos, como el número de bytes, el número de 1 o el número de 0 en el tráfico de red. También detecta sobre la base de la secuencia de instrucciones maliciosa ya conocida que utiliza el malware. Los patrones detectados en el IDS se conocen como firmas.Los IDS basados en firmas pueden detectar fácilmente los ataques cuyo patrón (firma) ya existe en el sistema, pero es bastante difícil detectar los nuevos ataques de malware ya que se desconoce su patrón (firma).
- Método basado
en anomalías: el IDS basado en anomalías se introdujo para detectar ataques de malware desconocido a medida que se desarrolla rápidamente nuevo malware. En el IDS basado en anomalías, se utiliza el aprendizaje automático para crear un modelo de actividad confiable y todo lo que llega se compara con ese modelo y se declara sospechoso si no se encuentra en el modelo. El método basado en el aprendizaje automático tiene una propiedad mejor generalizada en comparación con los IDS basados en firmas, ya que estos modelos se pueden entrenar de acuerdo con las aplicaciones y las configuraciones del hardware.
Comparación de IDS con cortafuegos:
IDS y cortafuegos están relacionados con la seguridad de la red, pero un IDS se diferencia de un cortafuegos en que un cortafuegos busca intrusiones en el exterior para evitar que sucedan. Los cortafuegos restringen el acceso entre redes para evitar intrusiones y, si un ataque proviene del interior de la red, no lo señala. Un IDS describe una intrusión sospechosa una vez que ha ocurrido y luego señala una alarma.