Uma propriedade de valor necessita de proteção contra ações de roubo e destruição. Algumas casas são equipadas com sistemas de alarme capazes de deter ladrões, notificar as autoridades na ocasião de uma invasão e inclusive alertar o proprietário quando sua casa estiver sendo incendiada. Tais medidas são necessárias para assegurar a integridade das casas e a segurança de seus proprietários.
A mesma garantia de integridade e segurança também deve ser aplicada a sistemas de dados e computadores. A Internet facilitou o fluxo de informações, tanto pessoais como financeiras. Ao mesmo tempo, também deu margem a muitos perigos. Usuários maléficos e crackers procuram alvos vulneráveis como sistemas não seguros, sistemas infectados com vírus trojans e redes rodando serviços não seguros. São necessários alarmes para notificar os administradores e membros da equipe de segurança que uma intrusão ocorreu para que eles possam agir em tempo real contra tal intrusão. Sistemas de detecção de intrusão foram elaborados para agir como este sistema de alerta.
Um sistema de detecção de intrusão (intrusion detection system, IDS) é um processo ou dispositivo ativo que analisa as atividades do sistema e da rede e identifica entradas não autorizadas e/ou atividades maléficas. A maneira como um IDS detecta anomalias pode variar amplamente; no entanto, o objetivo final de qualquer IDS é capturar os infratores na ação antes de realmente danificarem seus recursos.
Um IDS protege um sistema de ataques, mal-uso e danos. Também pode monitorar as atividades da rede, auditorar as configurações da rede e do sistema para detectar vulnerabilidades, analisar integridade de dados e muito mais. Dependendo dos métodos de detecção que você escolher aplicar, há diversos benefícios diretos e casuais em utilizar um IDS.
Entender o que é um IDS e as funcionalidades que oferece é essencial para determinar qual será o tipo apropriado para incluir em suas normas de segurança em informática. Esta seção aborda os conceitos por trás dos IDSs, as funcionalidades de cada tipo de IDS e a emergência de IDSs híbridos que aplicam diversas técnicas de detecção e ferramentas em um pacote.
Alguns IDSs são baseados no conhecimento, que alertam prioritariamente os administradores de segurança antes de uma intrusão ocorrer utilizando um banco de dados de ataques comuns. Alternativamente, há alguns IDSs comportamentais que rastreiam todos os usos de recursos para encontrar anomalias, que normalmente são sinais positivos de atividades maldosas. Alguns IDSs são serviços isolados (standalone) que trabalham por trás do cenário e monitoram passivamente as atividades, registrando quaisquer pacotes suspeitos vindos de fora. Outros IDSs combinam ferramentas padrão de sistema, configurações alteradas e registro de palavras, juntamente à intuição do administrador e sua experiência em criar um kit de detecção de intrusão poderoso. Avaliar as diferentes técnicas de detecção pode ajudar a encontrar uma que seja correta para sua organização.
Os tipos mais comuns de IDSs mencionados no campo da segurança são conhecidos como IDSs baseados na máquina e baseados na rede. Um IDS baseado na máquina é o mais detalhado dos dois, envolvendo a implementação de um sistema de detecção em cada máquina separadamente. Independente do ambiente de rede no qual a máquina reside, ela está protegida. Um IDS baseado na rede afunila pacotes através de um único dispositivo antes de enviá-los a máquinas específicas. IDSs baseados na rede são frequentemente encarados como menos detalhados, já que muitas máquinas num ambiente móvel impossibilitam uma filtragem e proteção confiável dos pacotes na rede.