¿Cómo funciona el sistema de detección de intrusos??

Se utiliza un sistema de detección de intrusos (IDS) con el fin de detectar el tráfico de red maliciosa y el mal uso del sistema que de lo contrario los firewalls convencionales no pueden detectar. Por lo tanto, IDS detecta ataques basados ​​en la red en servicios y aplicaciones vulnerables, ataques basados ​​en hosts, como la escalada de privilegios, la actividad de inicio de sesión no autorizada y el acceso a documentos confidenciales e infección por malware (caballos troyanos, virus, etc.). Ha demostrado ser una necesidad fundamental para la operación exitosa de una red.

La diferencia clave entre un sistema de prevención de intrusiones (IPS) y el IDS es que, si bien las IDS solo monitorea e informan pasivamente el estado de la red, IP va más allá, impide activamente a los intrusos llevar a cabo actividades maliciosas.

Esta guía explorará diferentes tipos de ID, sus componentes y los tipos de técnicas de detección utilizadas en IDS.

Revisión histórica de IDS

James Anderson introdujo la idea de intrusión o detección de mal uso del sistema mediante el monitoreo del patrón de uso de la red anómala o mal uso del sistema. En 1980, basado en este informe, publicó su artículo titulado "Monitoreo y vigilancia de amenazas de seguridad informática."En 1984, se lanzó un nuevo sistema llamado" Sistema de expertos en detección de intrusos (IDES) ". Fue el primer prototipo de IDS que monitorea las actividades de un usuario.

En 1988, se introdujo otra identificación llamada "Haystack" que utilizaron patrones y análisis estadísticos para detectar actividades anómalas. Sin embargo, este IDS no tiene la característica del análisis en tiempo real. Siguiendo el mismo patrón, la Lawrence Livermore Laboratories de la Universidad de California Davis trajo un nuevo IDS llamado "Monitor de sistema de red (NSM)" para analizar el tráfico de la red. Posteriormente, este proyecto se convirtió en un IDS llamado "Sistema distribuido de detección de intrusos (DIDS)."Basado en DIDS, se desarrolló el" acosador ", y fueron las primeras identificaciones que estaban disponibles comercialmente.

A mediados de la década de 1990, SAIC desarrolló un ID de host llamado "Sistema de detección de uso indebido de la computadora (CMDS)."Otro sistema llamado" Medición de incidentes de seguridad automatizados (ASIM) "fue desarrollado por el Centro de Apoyo Criptográfico de la Fuerza Aérea de los Estados Unidos para medir el nivel de actividad no autorizada y detectar eventos de red inusuales.

En 1998, Martin Roesch lanzó un IDS de código abierto para redes llamadas "Snort", que luego se hizo muy popular.

Tipos de IDS

Según el nivel de análisis, hay dos tipos principales de ID:

1. IDS basados ​​en la red (NID): está diseñado para detectar actividades de red que generalmente no son detectadas por las simples reglas de filtrado de los firewalls. En NIDS, los paquetes individuales que pasan a través de una red se monitorizan y analizan para detectar cualquier actividad maliciosa en una red. "Snort" es un ejemplo de NIDS.
2. IDS basados ​​en host (HID): esto monitorea las actividades que se realizan en un host o servidor individual en el que hemos instalado las IDS. Estas actividades pueden ser intentos de inicio de sesión del sistema, verificación de integridad para archivos en el sistema, el rastreo y el análisis de las llamadas del sistema, los registros de aplicaciones, etc.

Sistema de detección de intrusos híbridos: es la combinación de dos o más tipos de IDS. "Preludio" es un ejemplo de este tipo de IDS.

Componentes de IDS

Un sistema de detección de intrusos está compuesto por tres componentes diferentes, como se explica brevemente a continuación:

1. Sensores: analizan el tráfico de red o la actividad de la red, y generan eventos de seguridad.
2. Consola: su propósito es el monitoreo de eventos y para alertar y controlar los sensores.
3. Motor de detección: los eventos generados por los sensores son registrados por un motor. Estos se registran en una base de datos. También tienen políticas para generar alertas correspondientes a eventos de seguridad.

Técnicas de detección para IDS

De manera amplia, las técnicas utilizadas en IDS se pueden clasificar como:

1. Detección basada en la firma/patrones: utilizamos patrones de ataque conocidos llamados "firmas" y los combinamos con el contenido del paquete de red para detectar ataques. Estas firmas almacenadas en una base de datos son los métodos de ataque utilizados por los intrusos en el pasado.
2. Detección de acceso no autorizada: aquí, el IDS está configurado para detectar violaciones de acceso utilizando una lista de control de acceso (ACL). El ACL contiene políticas de control de acceso y utiliza la dirección IP de los usuarios para verificar su solicitud.
3. Detección basada en anomalías: utiliza un algoritmo de aprendizaje automático para preparar un modelo IDS que aprende del patrón de actividad regular del tráfico de red. Este modelo luego actúa como un modelo base a partir del cual se compara el tráfico de la red entrante. Si el tráfico se desvía del comportamiento normal, se generan alertas.
4. Detección de anomalías de protocolo: en este caso, el detector de anomalías detecta el tráfico que no coincide con los estándares de protocolo existentes.

Conclusión

Las actividades comerciales en línea han aumentado en los últimos tiempos, y las empresas tienen múltiples oficinas ubicadas en diferentes lugares de todo el mundo. Es necesario ejecutar redes informáticas constantemente a nivel de Internet y un nivel empresarial. Es natural que las empresas se conviertan en objetivos de los ojos malvados de los piratas informáticos. Como tal, se ha convertido en un problema muy crítico para proteger los sistemas de información y las redes. En este caso, IDS se ha convertido en un componente vital de la red de una organización, que juega un papel esencial en la detección de acceso no autorizado a estos sistemas.