O IDS (Intrusion Detection System) é um
sistema de detecção de intrusão, um componente
essencial em um ambiente corporativo, que
possibilita a coleta e o uso de informações dos
diversos tipos de ataques em prol da defesa de toda
uma infraestrutura de rede. Dessa forma, é possível
identificar pontos ou tentativas de invasão, dando
permissão para registro e possibilitando a melhoria
contínua do ambiente de segurança. Entre os tipos
existentes, dois são caracterizados a seguir.
I. Este IDS monitora o tráfego do segmento de rede,
geralmente com a interface de rede atuando em
modo promíscuo. A detecção é realizada com a
captura e análise dos cabeçalhos e conteúdos
dos pacotes, que são comparados com padrões
ou assinaturas conhecidas. É um tipo eficiente
contra ataques como port scanning, IP spoofing
ou SYN flooding.
II. Este IDS se baseia em algum tipo de
conhecimento, na qual as detecções são
realizadas a partir de uma base de dados com
informações sobre ataques conhecidos. Seu
funcionamento é semelhante a um antivírus, no
qual o IDS procura por um padrão ou uma
assinatura de ataque que esteja na base de
dados. Um conjunto de assinaturas representa
tipos de conexões e tráfegos, que podem indicar
um ataque em progresso. A taxa de erros desse
método é considerada aceitável e boa, porém
depende da atualização constante da base de
conhecimentos que, por sua vez, depende do
sistema operacional, da versão, da plataforma e
da aplicação.
Os tipos de IDS caracterizados em I e II são
denominados, respectivamente: