1. A la hora de clasificar este tipo de herramientas encontramos b´asicamente dos categorıasprincipales, segun la localizaci´on desde la que se obtienen datos:
1.1. Escaners basados en m´aquina
1.2. Escaners basados en red
1.2.1. Prueba por explotacion.
1.2.2. Metodos de inferencia.
2. Mecanismos de Auditorias
2.1. Permitir el descubrimiento tanto de intentos internos como externos de burlar los mecanismos de proteccion.
2.2. Permitir la revisi´on de patrones de acceso (por parte de un objeto o por parte de un usuario) y el uso de mecanismos de protecci´on del sistema.
2.3. Permitir el descubrimiento de la transicion de usuario cuando pasa de un nivel menor de privilegios a otro mayor (escalada de privilegios).
2.4. Permitir el bloqueo de los intentos de los usuarios de saltarse los mecanismos de proteccion del sistema
2.5. Servir de garant´ıa frente a los usuarios de que toda la informaci´on que se recoja sobre ataques e intrusiones ser´a suficiente para controlar los posibles da˜nos ocasionados en el sistema.
3. Sistemas de deteccion de intrusos
3.1. Una intrusion es una secuencia de acciones realizadas por un usuario o proceso deshonesto, con el objetivo final de provocar un acceso no autorizado sobre un equipo o un sistema al completo
3.2. La deteccion de intrusiones es el proceso de identificacio´n y respuesta ante las actividades ilıcitas observadas contra uno o varios recursos de una red.
3.3. Los sistemas de confianza son aquellos sistemas que emplean suficientes recursos software y hardware para permitir el procesamiento simultaneo de una variedad de informacion confidencial o clasificada.
4. Escaners de vulnerabilidades
4.1. se pueden dividir en tres etapas:
4.1.1. Durante la primera etapa se realiza una extraccion de muestras del conjunto de atributos del sistema, para poder almacenarlas posteriormente en un contenedor de datos seguro.
4.1.2. En la segunda etapa, estos resultandos son organizados y comparados con, al menos, un conjunto de referencia de datos.
4.1.3. Finalmente, se generar´a un informe con las diferencias entre ambos conjuntos de datos
5. Esquema de deteccion basado en usos indebidos
5.1. Analizadores basados en reconocimiento de patrones.
5.2. Analizadores basados en transiciones de estados.
6. Necesidad de mecanismos adicionales en la prevencion y proteccion.
6.1. Fases
6.1.1. Fase de vigilancia. Durante la fase de vigilancia, el atacante intentara aprender todo lo que pueda sobre la red que quiere atacar
6.1.2. Fase de explotacion de servicio. Este segundo paso describe la actividad que permitira al atacante hacerse con privilegios de administrador.
6.1.3. Fase de ocultacion de huellas. Durante esta fase de ocultacion se realizara toda aquella actividad ejecutada por el atacante (una vez ya producida la intrusion) para pasar desapercibido en el sistema
6.1.4. Fase de extraccion de informacion. En esta ultima fase, el atacante con privilegios de administrador tendra acceso a los datos de los clientes mediante la base de datos de clientes.