Um sistema de detecção de intrusão (IDS) inspeciona todas as atividades de rede de entrada e saída e identifica padrões suspeitos que podem indicar um ataque de rede ou sistema de alguém tentando invadir ou comprometer um sistema.
Existem várias maneiras de categorizar um IDS:
- detecção de mau uso vs detecção de anomalia: na detecção de uso indevido, o IDS analisa as informações que coleta e as compara a grandes bancos de dados de assinaturas de ataques. Essencialmente, o IDS procura um ataque específico que já foi documentado. Como um sistema de detecção de vírus, o software de detecção de uso indevido é tão bom quanto o banco de dados de assinaturas de ataque que ele usa para comparar os pacotes. Na detecção de anomalias, o administrador do sistema define a linha de base, ou normal, do estado da carga de tráfego da rede, quebra, protocolo e tamanho de pacote típico. O detector de anomalias monitora segmentos de rede para comparar seu estado com a linha de base normal e procurar anomalias.
- baseado em rede vs sistemas baseados em host: em um sistema baseado em rede, ou NIDS, os pacotes individuais que fluem por uma rede são analisados. O NIDS pode detectar pacotes maliciosos que são projetados para serem ignorados pelas regras de filtragem simplistas de um firewall. Em um sistema baseado em host, o IDS examina a atividade em cada computador ou host individual.
- sistema passivo vs sistema reativo: em um sistema passivo, o IDS detecta uma potencial violação de segurança, registra as informações e sinaliza um alerta. Em um sistema reativo, o IDS responde à atividade suspeita desconectando um usuário ou reprogramando o firewall para bloquear o tráfego de rede da fonte suspeita de mal-intencionado.
Embora ambos estejam relacionados à segurança de rede, um IDS difere de um firewall porque o firewall procura por intrusões para impedi-las de acontecer. O firewall limita o acesso entre as redes para evitar invasões e não sinaliza um ataque de dentro da rede. Um IDS avalia uma suspeita de intrusão assim que ela ocorre e sinaliza um alarme. Um IDS também observa ataques originados de dentro de um sistema.