Tipos de IDS

tipos-de-ids

Segundo Endorf, Schultz e Mellander (2004), Detecção de intrusão é tipicamente uma parte de um sistema de proteção geral que está instalada em torno de um sistema ou dispositivo, não é uma medida de proteção única e os IDSs estão divididos em três categorias: Sistemas de Detecção de Intrusão baseados em Servidor (HIDS), Sistemas de Detecção de Intrusão baseados em Rede (NIDS), e sistemas híbridos das duas.

a)    Sistemas HIDS (Host-Based)

Um sistema HIDS vai exigir algum software que reside no sistema operacional e pode verificar todos os recursos do servidor para com as atividades de rede, justamente desde simples conexões de rede até eventos de atividades. Ele irá registrar todas as atividades que ele capturar em um banco de dados seguro e verificar entre os eventos se encontrou nenhum registro de eventos maliciosos listados na base de conhecimento.

b)    Sistemas NIDS (Network-Based)

Um sistema NIDS é normalmente embutido na rede, e analisa os pacotes de rede à procura de ataques. Um NIDS recebe todos os pacotes em um segmento de rede particular, incluindo redes comutadas (onde este não é o comportamento padrão) através de um dos vários métodos, tais como espelhamento de porta (port mirroring). Ele reconstrói cuidadosamente os fluxos de tráfego para analisá-los para os padrões de comportamento mal-intencionados. A maioria dos NIDSs estão equipados com comodidades e facilidades para registrar suas atividades e gerar relatórios ou alarme em eventos questionáveis. Além disso, muitos roteadores de alto desempenho oferecem capacidades NID.

c)    Sistemas Híbridos (Hybrids Systems)

Um IDS híbrido combina um HIDS, que monitora eventos que ocorrem no sistema servidor, com um NIDS, que monitora o tráfego da rede. Deve ser instalado em um servidor específico conectado em uma porta de rede do switch que espelha todas as informações passantes, captura o tráfego de rede e analisa os logs de casos de uso do sistema, tornando a detecção mais eficaz. O IDS híbrido combina as propriedades de ambos os sistemas e captura o tráfego de rede e analisa os logs de casos de uso do sistema, tornando a detecção mais eficaz.

Fonte: ENDORF, SCHULTZ e MELLANDER. Intrusion Detection & Prevention. Emeryville, California: McGraw-Hill, 2004.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s