1. Arquitectura general de un sistema de detección de intrusiones
1.1. Precisión
1.1.1. Un sistema de detección de intrusos no debe que confundir acciones legítimas con acciones deshonestas a la hora de realizar su detección.
1.2. Eficiencia
1.2.1. El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada (conocida como falsos negativos).
1.3. Rendimiento
1.3.1. El rendimiento ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección en tiempo real.
1.4. Escalabilidad
1.4.1. A medida que la red vaya creciendo (tanto en medida como en velocidad), también aumentará el número de eventos que deberá tratar el sistema.
1.5. Tolerancia en fallos
1.5.1. El sistema de detección de intrusiones debe ser capaz de continuar ofreciendo su servicio aunque sean atacados distintos elementos del sistema incluyendo la situación de que el propio sistema reciba un ataque o intrusión).
2. Recolectores de información
2.1. Sensor
2.1.1. Es el responsable de la recogida de información de los equipos monitorizados por el sistema de detección.
2.2. Elección de sensores
2.2.1. Sensores basados en equipo y en aplicación
2.2.1.1. Los sensores basados en equipo y en aplicación podrán recoger información de calidad, además de ser fácilmente configurables y de poder ofrecer información de gran precisión.
2.2.2. Sensores basados en red
2.2.2.1. La principal ventaja de los sensores basados en red, frente a las otras dos soluciones, es la posibilidad de trabajar de forma no intrusiva.
2.2.3. Instalación de sensores
3. Procesadores de eventos
3.1. Esquema de detección basado en usos indebidos
3.1.1. Analizadores basados en reconocimiento de patrones
3.1.2. Analizadores basados en transiciones de estados
3.2. Esquema de detección basado en anomalías
4. Unidades de respuesta
4.1. Unidades de respuesta basadas en equipo
4.2. Unidades de respuesta basadas basadas en red
5. Escáners de vulnerabilidades
5.1. Primera etapa se realiza una extracción de muestras del conjunto de atributos del sistema, para poder almacenarlas posteriormente en un contenedor de datos seguro.
5.2. Segunda etapa, estos resultandos son organizados y comparados con, al menos, un conjunto de referencia de datos.
5.3. Tercera etapa, se generará un informe con las diferencias entre ambos conjuntos de datos.
6. Escáners basados en máquina
6.1. COPS
6.1.1. una herramienta que se encargaba de analizar el sistema a la búsqueda de problemas de configuración típicos .
6.2. TIGER
6.2.1. Al igual que COPS, se compone de un conjunto de aplicaciones y guiones de sistema con el objetivo de realizar auditorías de seguridad en sistemas Unix
7. Necesidad de mecanismos adicionales en la prevención y protección.
7.1. Fase de vigilancia
7.2. Fase de explotación de servicio
7.3. Fase de ocultación de huellas
7.4. Fase de extracción de información
8. Sistemas de detección de intrusos
8.1. Intrusión
8.2. Detección de intrusiones
9. Antecedentes de los sistemas de detección de intrusos
9.1. MIDAS
9.1.1. primer sistema de detección de intrusiones conectados a internet.
10. Elementos de almacenamiento
11. Escáners basados en red
11.1. Prueba por explotación.
11.1.1. Esta técnica consiste en lanzar ataques reales contra el objetivo.
11.2. Métodos de inferencia.
11.2.1. El sistema no explota vulnerabilidades, sino que busca indicios que indiquen posibilidades de ataque, tratando de detectar posibles deficiencias de seguridad en el objetivo.