1. Escáneres de vulnerabilidad
1.1. Escáneres basados en maquina
1.1.1. fue el primero en utilizarse para la evaluación de vulnerabilidades.
1.1.1.1. • TIGER • COOPS
1.2. Escáneres basados en red
1.2.1. Son los que realizan pruebas de ataque y registran las respuestas que se obtienen.
1.2.1.1. • Prueba por explotación • Métodos de inferencia
2. Sistemas de decepción
2.1. Equipos de decepción
2.1.1. son equipos informáticos conectados que tratan de atraer el trafico de uno o más atacantes
2.2. Celdas de aislamiento
2.2.1. se pueden utilizar para comprender mejor los métodos utilizados por los intrusos.
2.3. Redes de decepción
2.3.1. son una herramienta utilizada para mejorar la seguridad de las redes de producción.
3. Antecedentes de los sistemas de detección basada en intrusos
3.1. Son una evolución directa de los primeros sistemas de auditoría.
4. Sistema de detección de intrusos
4.1. Arquitectura general de un sistema de detección de intrusos
4.1.1. Precisión
4.1.1.1. trata de que no debe confundir acciones legítimas con acciones deshonestas a la hora de realizar su detección.
4.1.2. Eficiencia
4.1.2.1. debe minimizar la tasa de actividad maliciosa no detectada.
4.1.3. Rendimiento
4.1.3.1. debe ser suficiente como para poder llegar a realizar una detección en tiempo real.
4.1.4. Escalabilidad
4.1.4.1. aumentara el número de eventos que el sistema deberá tratar.
4.1.5. Tolerancia en fallos
4.1.5.1. debe ser capaz de continuar ofreciendo su servicio aunque sean atacados en diferentes partes del sistema.
4.2. Recolectores de información
4.2.1. También conocido como sensor y es el responsable de la recogida de información de los equipos
4.2.1.1. • Sensores basados en equipo y aplicación. • Sensores basados en red.
4.3. Procesadores de eventos
4.3.1. También conocidos como analizadores conforman el núcleo central del sistema de detección.
4.3.1.1. Se utilizan dos esquemas para la protección: • Esquema de detección basada en usos indebidos. • Esquema de detección basado en anomalías.
4.4. Unidades de respuesta
4.4.1. Se encargan de iniciar acciones de respuesta en el momento que se presente un ataque o una intrusión.
4.4.1.1. • Unidades de respuesta basadas en equipo. • Unidades de respuesta basadas en red.
4.5. Elementos de almacenamiento
4.5.1. El volumen de información recogida por los sensores del sistema de detección llega a ser tan elevado que se hace necesario previo análisis un proceso de almacenamiento.
5. Detección de ataques distribuidos
5.1. Esquemas tradicionales
5.1.1. plantean la instalación de sensores en cada uno de los equipos que desea proteger.
5.2. Análisis descentralizado
5.2.1. Análisis descentralizado mediante códigos móviles
5.2.1.1. para este se utiliza el paradigma de agentes de software.
5.2.2. Análisis descentralizado mediante paso de mensajes
5.2.2.1. trata de eliminar la necesidad de nodos centrales o intermediarios.
6. Prevención de intrusos
6.1. Sistema de detección en línea
6.1.1. permite analizar el trafico del segmento de red.
6.2. Conmutadores de nivel siete
6.2.1. se suelen utilizar para realizar tareas de balanceo de carga de una aplicación.
6.3. Sistemas cortafuegos a nivel de aplicación
6.3.1. trata de una herramienta de prevención que se puede instalar directamente sobre el trabajo final.
6.4. Conmutadores híbridos
6.4.1. permite reducir problemas de seguridad asociado a una programación deficiente.