1. Necesida de mecanismos adicionales en la prevención y proteccion
1.1. Fase de vigilancia
1.1.1. El vigilante deberá aprender todo lo que pueda de la red que quiere atacar.
1.2. Fase de exploración de servicion
1.2.1. Describe la actividad que hace al atacante hacerse con privilegios de administrador.
1.3. Fase de ocultación de huellas
1.3.1. Se realiza toda actividad ejecutada por el atacante para pasar desapersivido por el sistema.
1.4. Fase de extracción de informacion
1.4.1. El atacante con privilegios de administrador tendrá acceso a los datos de los clientes mediante la base de datos de los clientes.
2. Sistemas de detección de intrusos
2.1. Antecedentes de los sitemas de detección de intrusos
2.1.1. Primeros sistemas para la detección de ataques en tiempo real.
2.1.2. Sistemas de detección de intrusos actuales.
2.2. Arquitectura general de un sistema de detección de intrusos
2.2.1. Precision: No debe de confundir acciones legitimas con acciones deshonestas a la hora de ahcer la detección.
2.2.2. Eficiencia: Debe disminuir la tasa de actividad malisiosa no detectada.
2.2.3. Rendimiento: Dede de ser suficiente como para llegar a realizar una detección en tiempo real.
2.2.4. Escalabilidad: A medida que vaya creciendo también aumentara el numero de eventos que deberá tratar el sistema.
2.2.5. Tolerancia en fallas: Debe de ser capaz de continuar ofreciendo su servicio aunque sea atacado distintos elementos del sistema.
2.3. Recolectores de informacion
2.3.1. Sensores basados en aplicación y en equipo: Recogen información de calidad y son fáciles de configurar.
2.3.2. Sensores basados en red: La recogida de información no afecta a la forma de trabajar de los equipos y tampoco la infraestructura.
2.4. Procesadores de evento
2.4.1. Analizadores basados en reconocimiento de patrones: Procesan la información por medio de funciones del sistema completamente transparente al usuario.
2.4.2. Analizadores basados en transiciones de estados: Hace uso de autómatas finitos para representar los ataques.
2.5. Unidades de respuesta
2.5.1. Unidades de respuestas badadas en equipo: Se encargan de actuar a nivel del sistema operativo.
2.5.2. Unidades de respuestas basadas en red: Actuan cortando intentos de conexión y filtrando direcciones sospechosas.
2.6. Elementos de almacenamiento
3. Escaneres de vulnerabilidad
3.1. Escaners basados en maquina
3.1.1. Se basa en la utilización de información de un sistema para la detección de vulnerabilidades.
3.2. Escaners basados en red
3.2.1. Obtienen la información necesarios atraves de las conexiones de red con el objetivo que hay que analizar.
4. Sistema de decepcion
4.1. Equipo de decepcion
4.1.1. Son equipos informáticos conectados en que tratan de atraer el trafico de uno o mas atacantes.
4.2. Celdas de aislamiento
4.2.1. Se pueden utilizar mejor para comprender los métodos utilizados por el intruso.
4.3. Redes de decepcion
4.3.1. Herramienta de análisis para mejorar la seguridad de las redes de producción.
5. Prevención de intrusos
5.1. Son el resultado de unir la capacidad de bloqueo de los mecanismos de prevención con las capacidades de análisis y monitoritacion de los sistemas de detección de intrusos
5.1.1. Sistemas de detección en línea
5.1.2. Conmutadores de nivel siete
5.1.3. Sistemas cortafuegos a nivel de aplicación
5.1.4. Conmutadores híbridos
6. Detección de ataques distribuidos
6.1. Esquemas tradicionales
6.2. Análisis descentralizado
6.2.1. Análisis descentralizado mediante código móvil.
6.2.2. Análisis descentralizado mediante paso de mensajes.