Tipos de sistemas de detección de intrusos

Llegados a este punto es interesante clasificar de algún modo los distintos sistemas de detección de intrusos.

Una primera clasificación puede ser entre sistemas en tiempo real y aquellos que no lo son.

Los sistemas en tiempo real permanecerán constantemente chequeando el sistema buscando alguna señal de un incidente de seguridad e inmediatamente provocarán una alarma. Por contra, los sistemas de detección de intrusos que no son de este tipo se usan generalmente cuando existe la creencia de que estamos ante un incidente de seguridad y se usan para recabar información del tipo y alcance de esta incidencia, generalmente sobre registros o información del sistema.

Una clasificación más rigurosa la podemos realizar según los medios que utilizan los sistemas de detección de intrusos para monitorizar las incidencias. Tenemos según esta clasificación cuatro tipos de sistemas:

• Basados en el host. Estos sistemas recaban información del sistema para realizar un analisis de las posibles incidencias pero siempre desde el punto de vista del propio sistema y con sus recursos.

• Basados en la red. Sistemas que observan el tráfico de red buscando algún indicio de un ataque conocido. Generalmente un interfaz en modo promíscuo buscando datos sobre una red. ( Suelen pertenecer también al tipo de tiempo real ).

• Basados en la aplicación. Estos recaban datos de una aplicación activa en el sistema ( por ejemplo los logs u otra ) y buscan evidencias en estos datos. La diferencia con los basados en host es que estos los propios recursos son detectores de intrusos y en el caso de aplicación los datos han de ser filtrados para ser tratados como alarmas.

• Basados en el objetivo. Estos monitores se basan en salvaguardar la integridad del objetivo que podría ser cualquier recurso del sistema ( por ejemplo el sistema de ficheros ).

Ya por último y para terminar esta taxonomía podemos diferenciar los sistemas de detección de intrusos según el tipo de analisis que realiza:

• Detección de uso inadecuado. En estos casos el sistema busca un patrón de un ataque bien definido.

• Detección de alguna anomalía. Se busca sobre el sistema alguna anomalía que pueda hacer creer que hay un incidente de seguridad, pero que puede no ser provocada por esto.