O que é um Sistema de Detecção de Intrusos


Intrusion Detection System - IDS (Sistema de detecção de intrusos) é uma solução de mercado que automatiza a detecção acessos não autorizados em #redes de computadores. A solução é também conhecida como Sistema de Detecção de Intrusão. 

Intrusos


São denominados de intrusos os invasores de um ambiente de redes / sistemas. Existem três classificações básicas de intrusos:

  • Mascarado (invasor de fora da rede ou sistema): alguém que não é autorizado a entrar
  • Infrator (invasor de dentro da rede): é um usuário legítimo que não está autorizado a usar determinados recursos, mas os utiliza, ou então, que está autorizado, mas não os utiliza de forma lícita;
  • Usuário clandestino (invasor de dentro ou de fora da rede): invasor que toma posse de privilégios de administrador de um sistema para que se esquive de auditorias e controles para acesso ou até mesmo para ludibriar provas auditórias contra este.

Tipos de Intrusões


Intrusões Conhecidas

São tipos de intrusões que um comportamento já devidamente conhecido e catalogado.

Intrusões Generalizáveis

São tipos de intrusões semelhantes à categoria anterior (conhecidas), mas que manifestam algumas modificações em seu funcionamento. São chamadas generalizáveis pelo simples motivo de que o sistema de detecção tira conclusões sobre a ameaça - mesmo que não totalmente conhecida - a partir dos comportamentos semelhantes a outras já conhecidas, e portanto "generalizam".

Intrusões Desconhecidas

São intrusões para quais não podem ser adotadas regras rígidas de detecção pois apresentam comportamentos não muito conhecidos pelos sistemas de detecção. 

Como Funciona um IDS


Os procedimentos adotados por um IDS dependem da categoria de intrusão ocorrida. Nos casos conhecidos e generalizáveis, uma ação tomada é a checagem de assinaturas, isto é, procura por padrões já pré-estabelecidos de atividades de cunho malicioso. Para ameaças desconhecidas, a solução busca anomalias, que são nada mais do que atividades/dados diferentes do perfil tradicional da máquina/rede em que o IDS se encontra.

Origem


O conceito de Intrusion Detection System (IDS) surgiu nos anos 80 em estudos do Stanford Research Institute. Conhecido como Project 6169 - Statistical Techniques Development For An Audit Trail System, o projeto utilizava um algoritmo de alta velocidade que analisava os usuários com base nos seus perfis de comportamento.