IDS (Intrusion Detection System)
IDS (Intrusion Detection System) - Resumo para Concursos
1. Conceito de IDS
Um Intrusion Detection System (IDS) é um sistema de monitoramento que identifica atividades maliciosas ou violações de políticas em redes e sistemas. Ele analisa tráfego, logs e comportamentos para detectar possíveis ataques.
2. Tipos de IDS
- Baseado em Rede (NIDS): Monitora o tráfego da rede em tempo real.
- Baseado em Host (HIDS): Analisa logs e atividades em um host específico.
- Híbrido: Combina características de NIDS e HIDS.
3. Métodos de Detecção
- Assinatura (Signature-based): Compara padrões com um banco de dados de ataques conhecidos.
- Anomalia (Anomaly-based): Identifica desvios em relação a um comportamento "normal" pré-definido.
4. Localização e Arquitetura
Pode ser implementado como:
- Inline: Posicionado no caminho do tráfego (pode bloquear ataques).
- Passivo (Out-of-band): Monitora cópias do tráfego (somente detecta).
5. Limitações do IDS
- Gera falsos positivos (alertas incorretos) e falsos negativos (falha na detecção).
- Exige atualização constante de assinaturas e perfis de comportamento.
- Não bloqueia ataques automaticamente (a menos que integrado a um IPS).
6. Diferença entre IDS e IPS
Enquanto o IDS apenas detecta e alerta, o IPS (Intrusion Prevention System) pode bloquear ativamente o tráfego malicioso.
7. Termos Relacionados
- SIEM (Security Information and Event Management): Agrega e correlaciona logs de IDS/IPS.
- Honeypot: Sistema isca para atrair e estudar invasores.