U5.3 Mecanismos de detección

Sistemas de detección de intrusos
Uno de los mecanismos de defensa más usados para reducir el riesgo ante ataques dirigidos a los bienes informáticos han sido los sistemas de detección de intrusos o IDS.
Un IDS es un elemento que escucha y analiza toda la información que circula por la red de datos e identifica posibles ataques. Cuando aparece un ataque, el sistema reaccionará informando al administrador y cerrará las puertas al posible intruso reconfigurando elementos de la red como firewalls y routers.
El NIST (National Institute of Standards and Technology) define la detección de intrusos como el proceso de monitorización de eventos que suceden en un sistema informático o red y el análisis de dichos eventos en busca de signos de intrusiones. Estos sistemas están continuamente supervisando los componentes de red y las personas o intrusos que están intentando entrar ilegalmente en ella, describiendo las actividades o procesos que realizan los individuos o sistemas no autorizados sobre los elementos de la red.
Los sistemas de detección de intrusos suelen estar formados por: los sensores, los analizadores y la interfaz de usuario. Los sensores tienen la responsabilidad de coleccionar datos de interés y enviar esta información a los analizadores, siendo éstos últimos los encargados de determinar si ha ocurrido o está ocurriendo una intrusión y presentan pruebas de esta afirmación, proporcionando el tipo de intrusión detectada y, en muchos casos, proponen o ejecutan un grupo de medidas de actuación contra ellas.