Definição – O que significa Sistema de Detecção de Intrusão (IDS)?
Um sistema de detecção de intrusão (IDS) é um tipo de software de segurança projetado para alertar automaticamente os administradores quando alguém ou algo está tentando comprometer o sistema de informações por meio de atividades maliciosas ou violações da política de segurança.
Um IDS funciona monitorando a atividade do sistema examinando vulnerabilidades no sistema, a integridade dos arquivos e conduzindo uma análise de padrões com base em ataques já conhecidos. Ele também monitora automaticamente a Internet para pesquisar qualquer uma das ameaças mais recentes que possam resultar em um ataque futuro.
Definirtec explica Sistema de detecção de intrusão (IDS)
Existem várias maneiras pelas quais a detecção é realizada por um IDS. Na detecção baseada em assinatura, um padrão ou assinatura é comparado a eventos anteriores para descobrir ameaças atuais. Isso é útil para encontrar ameaças já conhecidas, mas não ajuda a encontrar ameaças desconhecidas, variantes de ameaças ou ameaças ocultas.
Outro tipo de detecção é a detecção baseada em anomalias, que compara a definição ou características de uma ação normal com características que marcam o evento como anormal.
Existem três componentes principais de um IDS:
- Network Intrusion Detection System (NIDS): faz a análise do tráfego em uma sub-rede inteira e fará uma correspondência entre o tráfego que passa e os ataques já conhecidos em uma biblioteca de ataques conhecidos.
- Sistema de detecção de intrusão de nó de rede (NNIDS): é semelhante ao NIDS, mas o tráfego é monitorado apenas em um único host, não em uma sub-rede inteira.
- Host Intrusion Detection System (HIDS): Tira uma “imagem” de um conjunto de arquivos de sistema inteiro e compara com uma imagem anterior. Se houver diferenças significativas, como arquivos ausentes, ele alerta o administrador.