¿Qué es la detección de intrusiones?
La detección de intrusiones es la detección del comportamiento de intrusión. Al recopilar y analizar el comportamiento de la red, registros de seguridad, datos de auditoría, otra información disponible en la red e información de varios puntos clave del sistema informático, puede verificar si existen violaciones de las políticas de seguridad y signos de ataque en la red o sistema.
Para un sistema de detección de intrusos exitoso, no solo permite al administrador del sistema mantenerse al tanto de cualquier cambio en el sistema de red (incluidos programas, archivos, dispositivos de hardware, etc.). ), al tiempo que proporciona orientación para la formulación de políticas de ciberseguridad. Más importante aún, debería ser fácil de administrar y configurar para que los no expertos puedan acceder fácilmente a la seguridad de la red. Además, la escala de detección de intrusiones también debe cambiar en función de los cambios en las amenazas de la red, la estructura del sistema y los requisitos de seguridad.
La detección basada en firmas también se denomina detección de uso indebido. Esta detección supone que la actividad del intruso puede representarse mediante un patrón, y el objetivo del sistema es detectar si la actividad del agente se ajusta a estos patrones. Puede comprobar si hay métodos de intrusión existentes, pero no tiene poder contra nuevos métodos de intrusión. La dificultad es cómo diseñar un modelo que pueda expresar el fenómeno de la "intrusión" sin incluir las actividades normales.