1. Necesidad de mecanismos adicionales en la prevencion y proteccion.
1.1. La intrusion que el atacante intentar ́a llevar a cabo pasar ́a por las siguientes cuatro fases:
1.1.1. Fase de vigilancia.
1.1.1.1. Durante la fase de vigilancia, el atacante intentar ́a aprender todo lo que pueda sobre la red que quiere atacar.
1.1.2. Fase de explotacion de servicio.
1.1.2.1. Este segundo paso describe la actividad que permitir ́a al atacante hacerse con privilegios de administrador
1.1.3. Fase de extraccion de información.
1.1.3.1. En esta ultima fase, el atacante con privilegios de administrador tendra acceso a los datos de los clientes mediante la base de datos de clientes.
1.1.4. Fase de ocultación de huellas.
1.1.4.1. Durante esta fase de ocultación se realizar ́a toda aquella actividad ejecutada por el atacante (una vez ya producida la intrusión) para pasar desapercibido en el sistema.
2. Sistemas de deteccion de intrusos
2.1. Los mecanismos para la detección de ataques e intrusiones tratan de encontrar y reportar la actividad maliciosa en la red, pudiendo llegar a reaccionar adecuadamente ante un ataque.
2.2. Una intrusión es una secuencia de acciones realizadas por un usuario o proceso eshonesto, con el objetivo final de provocar un acceso no autorizado sobre un equipo o un sistema al completo.
2.3. La detección de intrusiones: es el proceso de identificación y respuesta ante las Intrusión actividades ilícitas observadas contra uno o varios recursos de una red.
3. Primeros sistemas para la deteccion de ataques en tiempo real
3.1. IDES utilizaba perfiles para describir los sujetos del sistema (principalmente usuarios).
3.2. Discovery: capaz de detectar e impedir problemas de seguridad en bases de datos.
3.3. Midas: Este sistema de deteccion fue implementado para monitorizar el Dockmaster de la NCSC, en el que se ejecutaba uno de los sistemas operativos mas seguros de la epoca.
4. Antecedentes de los sistemas de detecci ́on de intrusos
4.1. objetivos principales de un mecanismo de auditora que podemos resumir muy brevemente en los siguientes puntos.
4.1.1. Permitir la revisión de patrones de acceso (por parte de un objeto o por parte de un usuario) y el uso de mecanismos de protección del sistema.
4.1.2. Permitir el descubrimiento tanto de intentos internos como externos de burlar los mecanismos de proteccion.
4.1.3. Permitir el bloqueo de los intentos de los usuarios de saltarse los mecanismos de proteccion del sistema.
5. Arquitectura general de un sistema de detecci ́on de intrusiones
5.1. Precision
5.2. Eficiencia
5.3. Rendimiento
5.4. Escalabilidad
5.5. Tolerancia en fallos
6. Unidades de respuesta
6.1. Categorias
6.1.1. Unidades de respuesta basadas en equipo.
6.1.1.1. Se encargan de actuar a nivel de sistema operativo (como, por ejemplo, bloqueo de usuarios, finalizacion de procesos, etc).
6.1.2. Unidades de respuesta basadas basadas en red
6.1.2.1. Actuan a nivel de red cortando intentos de conexion, filtrando direcciones sospechosas, etc.