Sistema de detecção de intrusão (ids)

Definição - O que significa Sistema de Detecção de Intrusão (IDS)?

Um sistema de detecção de intrusão (IDS) é um tipo de software de segurança projetado para alertar automaticamente os administradores quando alguém ou algo está tentando comprometer o sistema de informações por meio de atividades maliciosas ou violações da política de segurança.

Um IDS funciona monitorando a atividade do sistema examinando vulnerabilidades no sistema, a integridade dos arquivos e conduzindo uma análise de padrões com base em ataques já conhecidos. Ele também monitora automaticamente a Internet para pesquisar qualquer uma das ameaças mais recentes que possam resultar em um ataque futuro.

Definirtec explica Sistema de detecção de intrusão (IDS)

Existem várias maneiras pelas quais a detecção é realizada por um IDS. Na detecção baseada em assinatura, um padrão ou assinatura é comparado a eventos anteriores para descobrir ameaças atuais. Isso é útil para encontrar ameaças já conhecidas, mas não ajuda a encontrar ameaças desconhecidas, variantes de ameaças ou ameaças ocultas.
Outro tipo de detecção é a detecção baseada em anomalias, que compara a definição ou características de uma ação normal com características que marcam o evento como anormal.

Existem três componentes principais de um IDS:

  • Network Intrusion Detection System (NIDS): faz a análise do tráfego em uma sub-rede inteira e fará uma correspondência entre o tráfego que passa e os ataques já conhecidos em uma biblioteca de ataques conhecidos.
  • Sistema de detecção de intrusão de nó de rede (NNIDS): é semelhante ao NIDS, mas o tráfego é monitorado apenas em um único host, não em uma sub-rede inteira.
  • Host Intrusion Detection System (HIDS): Tira uma “imagem” de um conjunto de arquivos de sistema inteiro e compara com uma imagem anterior. Se houver diferenças significativas, como arquivos ausentes, ele alerta o administrador.