1420469
IDS - Intrusion Detection
System
- Definición
- Herramienta monitora de Sistemas
de Información en busca de intentos
de intrusión.
- Herramienta monitora de Sistemas
de Información en busca de intentos
de intrusión.
- Arquitectura
- CIDF - Common
Intrusion Detection
Framework
- Equipos E - Sensores - Detectar Eventos y Lanzar Informes
- Equipos A - Reciben informes y realizan análisis.
- Equipos D - Componentes de bases de datos.
- Equipos R - Responden a los eventos.
- Equipos E - Sensores - Detectar Eventos y Lanzar Informes
- CISL - Common
Intrusion Specification
Language
- Información de eventos en bruto. Unión Equipos E y A.
- Resultados de los análisis - Unión equipos A y D.
- Prescripciones de respuestas - Unión equipos A y R.
- Información de eventos en bruto. Unión Equipos E y A.
- CIDF - Common
Intrusion Detection
Framework
- Clasificación
- IDSs basados en red (NIDS).
- Detectan ataques capturando y analizando
paquetes de la red. Están formados por un conjunto
de sensores localizados en varios puntos de la red.
- Bien localizado puede monitorizar una red
grande, Debe tener la capacidad suficiente
para analizar todo el tráfico.
- Dificultades en red grande. No analizan información cifrada. No
saben si el ataque tuvo éxito o no. Problema con paquetes
fragmentados. La implementación de la pila TCP/IP es diferente,
- Detectan ataques capturando y analizando
paquetes de la red. Están formados por un conjunto
de sensores localizados en varios puntos de la red.
- IDSs basados en host (HIDS).
- Operan sobre la información recogida desde dentro de una
computadora. pueden ver el resultado de un intento de
ataque. Acceden a los archivos y procesos del sistema.
- Pueden detectar ataques que no
pueden ser vistos por un NIDS.
Anaiizan los datos antes de cifrarse.
- Más costosos de administrar. Sobre cada host.
No son adecuados para ataques en una red
grande. Pueden ser deshabilitados por ataques
DoS.
- Operan sobre la información recogida desde dentro de una
computadora. pueden ver el resultado de un intento de
ataque. Acceden a los archivos y procesos del sistema.
- IDSs basados en red (NIDS).
- Tipos de análisis
- Detección de abusos
- Buscan eventos que coincidan con un patrón predefinido
- Efectivos. Diagnóstico rápido y preciso.
- Solo detectan aquellos ataques que
conocen. Necesitan update constante.
- Buscan eventos que coincidan con un patrón predefinido
- Detección de anomalías
- Identifican comportamientos inusuales en un host o una red.
- Detectar ataques para los cuales no tienen un
conocimiento específico. Obtiene reglas para
usar en detección de abusos.
- Produce un gran número de falsas alarmas.
Necesita entrenamientos muy grandes.
- Identifican comportamientos inusuales en un host o una red.
- Detección de abusos
Want to create your own Mind Maps for free with GoConqr? Learn more.