Sistema de detección de intrusos

Dispositivo o software de protección de red

Un sistema de detección de intrusiones ( IDS ; también sistema de prevención de intrusiones o IPS ) es un dispositivo o aplicación de software que monitorea una red o sistemas en busca de actividad maliciosa o violaciones de políticas. ^[1] Cualquier actividad de intrusión o infracción normalmente se informa a un administrador o se recopila de forma centralizada mediante un sistema de gestión de eventos e información de seguridad (SIEM) . Un sistema SIEM combina resultados de múltiples fuentes y utiliza técnicas de filtrado de alarmas para distinguir la actividad maliciosa de las falsas alarmas . ^[2]

Los tipos de IDS varían en alcance desde computadoras individuales hasta redes grandes. ^[3] Las clasificaciones más comunes son sistemas de detección de intrusiones en la red ( NIDS ) y sistemas de detección de intrusiones basados ​​en host ( HIDS ). Un sistema que monitorea archivos importantes del sistema operativo es un ejemplo de HIDS, mientras que un sistema que analiza el tráfico de red entrante es un ejemplo de NIDS. También es posible clasificar el IDS según el método de detección. Las variantes más conocidas son la detección basada en firmas (que reconoce patrones malos, como el malware ) y la detección basada en anomalías (que detecta desviaciones de un modelo de tráfico "bueno", que a menudo se basa en el aprendizaje automático ). Otra variante común es la detección basada en la reputación (que reconoce la amenaza potencial según las puntuaciones de reputación). Algunos productos IDS tienen la capacidad de responder a las intrusiones detectadas. Los sistemas con capacidades de respuesta suelen denominarse sistemas de prevención de intrusiones . ^[4] Los sistemas de detección de intrusiones también pueden cumplir propósitos específicos al complementarlos con herramientas personalizadas, como el uso de un honeypot para atraer y caracterizar el tráfico malicioso. ^[5]

Comparación con cortafuegos

Aunque ambos se relacionan con la seguridad de la red , un IDS se diferencia de un firewall en que un firewall de red convencional (distinto de un firewall de próxima generación ) utiliza un conjunto estático de reglas para permitir o denegar conexiones de red. Implícitamente previene intrusiones, suponiendo que se haya definido un conjunto apropiado de reglas. Básicamente, los firewalls limitan el acceso entre redes para evitar intrusiones y no señalan un ataque desde el interior de la red. Un IDS describe una presunta intrusión una vez que se ha producido y emite una alarma. Un IDS también vigila los ataques que se originan dentro de un sistema. Esto se logra tradicionalmente examinando las comunicaciones de red, identificando heurísticas y patrones (a menudo conocidos como firmas) de ataques informáticos comunes y tomando medidas para alertar a los operadores. Un sistema que finaliza las conexiones se denomina sistema de prevención de intrusiones y realiza un control de acceso como un firewall de capa de aplicación . ^[6]

Categoría de detección de intrusiones

Los IDS se pueden clasificar según el lugar donde se realiza la detección (red o host ) o el método de detección empleado (basado en firmas o anomalías). ^[7]

Actividad analizada

Sistemas de detección de intrusiones en la red.

Los sistemas de detección de intrusiones en la red (NIDS) se colocan en un punto o puntos estratégicos dentro de la red para monitorear el tráfico hacia y desde todos los dispositivos de la red. ^[8] Realiza un análisis del tráfico que pasa en toda la subred y compara el tráfico que pasa en las subredes con la biblioteca de ataques conocidos. Una vez que se identifica un ataque o se detecta un comportamiento anormal, la alerta se puede enviar al administrador. Un ejemplo de NIDS sería instalarlo en la subred donde se encuentran los firewalls para ver si alguien está intentando ingresar al firewall. Lo ideal sería escanear todo el tráfico entrante y saliente; sin embargo, hacerlo podría crear un cuello de botella que afectaría la velocidad general de la red. OPNET y NetSim son herramientas comúnmente utilizadas para simular sistemas de detección de intrusiones en la red. Los sistemas NID también son capaces de comparar firmas de paquetes similares para vincular y descartar paquetes dañinos detectados que tienen una firma que coincide con los registros del NIDS. Cuando clasificamos el diseño de los NIDS según la propiedad de interactividad del sistema, hay dos tipos: NIDS en línea y fuera de línea, a menudo denominados modo en línea y tap, respectivamente. NIDS en línea se ocupa de la red en tiempo real. Analiza los paquetes Ethernet y aplica algunas reglas, para decidir si se trata de un ataque o no. NIDS fuera de línea maneja los datos almacenados y los pasa por algunos procesos para decidir si se trata de un ataque o no.

NIDS también se puede combinar con otras tecnologías para aumentar las tasas de detección y predicción. Los IDS basados ​​​​en redes neuronales artificiales son capaces de analizar grandes volúmenes de datos, de manera inteligente, debido a la estructura autoorganizada que permite a los IDS INS ^{[ aclaración necesaria ]} reconocer patrones de intrusión de manera más eficiente. ^[9] Las redes neuronales ayudan al IDS a predecir ataques aprendiendo de los errores; INN ^{[ se necesita aclaración ]} IDS ayuda a desarrollar un sistema de alerta temprana, basado en dos capas. La primera capa acepta valores únicos, mientras que la segunda capa toma la salida de las primeras capas como entrada; el ciclo se repite y permite que el sistema reconozca automáticamente nuevos patrones imprevistos en la red. ^[10] Este sistema puede tener una tasa promedio de detección y clasificación del 99,9%, según los resultados de la investigación de 24 ataques de red, divididos en cuatro categorías: DOS, sonda, remoto a local y usuario a root. ^[11]

Sistemas de detección de intrusiones en el host

Los sistemas de detección de intrusiones en el host (HIDS) se ejecutan en hosts o dispositivos individuales de la red. Un HIDS monitorea los paquetes entrantes y salientes del dispositivo únicamente y alertará al usuario o administrador si se detecta actividad sospechosa. Toma una instantánea de los archivos del sistema existentes y la compara con la instantánea anterior. Si los archivos críticos del sistema se modificaron o eliminaron, se envía una alerta al administrador para que los investigue. Se puede ver un ejemplo de uso de HIDS en máquinas de misión crítica, de las que no se espera que cambien sus configuraciones. ^{[12] [13]}

Método de detección

Basado en firma

El IDS basado en firmas es la detección de ataques mediante la búsqueda de patrones específicos, como secuencias de bytes en el tráfico de la red o secuencias de instrucciones maliciosas conocidas utilizadas por el malware. ^[14] Esta terminología proviene del software antivirus , que se refiere a estos patrones detectados como firmas. Aunque el IDS basado en firmas puede detectar fácilmente ataques conocidos, es difícil detectar nuevos ataques, para los cuales no hay ningún patrón disponible. ^[15]

En el IDS basado en firmas, las firmas las emite un proveedor para todos sus productos. La actualización puntual del IDS con la firma es un aspecto clave.

Basado en anomalías

Los sistemas de detección de intrusiones basados ​​en anomalías se introdujeron principalmente para detectar ataques desconocidos, en parte debido al rápido desarrollo del malware. El enfoque básico es utilizar el aprendizaje automático para crear un modelo de actividad confiable y luego comparar el nuevo comportamiento con este modelo. Dado que estos modelos se pueden entrenar de acuerdo con las aplicaciones y las configuraciones de hardware, el método basado en aprendizaje automático tiene una propiedad más generalizada en comparación con los IDS tradicionales basados ​​en firmas. Aunque este enfoque permite la detección de ataques previamente desconocidos, puede sufrir falsos positivos : la actividad legítima previamente desconocida también puede clasificarse como maliciosa. La mayoría de los IDS existentes sufren el consumo de tiempo durante el proceso de detección, lo que degrada el rendimiento de los IDS. El algoritmo de selección de características eficiente hace que el proceso de clasificación utilizado en la detección sea más confiable. ^[dieciséis]

Gartner está viendo nuevos tipos de lo que podrían llamarse sistemas de detección de intrusiones basados ​​en anomalías como User and Entity Behavior Analytics (UEBA) ^[17] (una evolución de la categoría de análisis del comportamiento del usuario ) y análisis de tráfico de red (NTA). ^[18] En particular, NTA se ocupa de personas internas maliciosas, así como de ataques externos dirigidos que han comprometido la máquina o cuenta de un usuario. Gartner ha observado que algunas organizaciones han optado por NTA en lugar de IDS más tradicionales. ^[19]

Prevención de intrusiones

Algunos sistemas pueden intentar detener un intento de intrusión, pero esto no es necesario ni se espera de un sistema de monitoreo. Los sistemas de detección y prevención de intrusiones (IDPS) se centran principalmente en identificar posibles incidentes, registrar información sobre los mismos y reportar intentos. Además, las organizaciones utilizan IDPS para otros fines, como identificar problemas con las políticas de seguridad, documentar amenazas existentes y disuadir a las personas de violar las políticas de seguridad. Los desplazados internos se han convertido en una adición necesaria a la infraestructura de seguridad de casi todas las organizaciones. ^[20]

Los IDPS suelen registrar información relacionada con eventos observados, notificar a los administradores de seguridad sobre eventos importantes observados y producir informes. Muchos desplazados internos también pueden responder a una amenaza detectada intentando evitar que tenga éxito. Utilizan varias técnicas de respuesta, que implican que el IDPS detenga el ataque, cambie el entorno de seguridad (por ejemplo, reconfigurar un cortafuegos) o cambie el contenido del ataque. ^[20]

Los sistemas de prevención de intrusiones ( IPS ), también conocidos como sistemas de prevención y detección de intrusiones ( IDPS ), son dispositivos de seguridad de red que monitorean las actividades de la red o del sistema en busca de actividad maliciosa. Las funciones principales de los sistemas de prevención de intrusiones son identificar actividades maliciosas, registrar información sobre esta actividad, informarla e intentar bloquearla o detenerla. ^[21] .

Los sistemas de prevención de intrusiones se consideran extensiones de los sistemas de detección de intrusiones porque monitorean el tráfico de la red y/o las actividades del sistema en busca de actividad maliciosa. Las principales diferencias son que, a diferencia de los sistemas de detección de intrusiones, los sistemas de prevención de intrusiones se colocan en línea y pueden prevenir o bloquear activamente las intrusiones que se detectan. ^{[22] : 273  [23] : 289} IPS puede tomar acciones como enviar una alarma, descartar paquetes maliciosos detectados, restablecer una conexión o bloquear el tráfico desde la dirección IP infractora. ^[24] Un IPS también puede corregir errores de verificación de redundancia cíclica (CRC) , desfragmentar flujos de paquetes, mitigar problemas de secuenciación TCP y limpiar opciones de capa de red y transporte no deseadas . ^{[22] : 278  [25]}

Clasificación

Los sistemas de prevención de intrusiones se pueden clasificar en cuatro tipos diferentes: ^{[21] [26]}

1. Sistema de prevención de intrusiones basado en red (NIPS) : monitorea toda la red en busca de tráfico sospechoso mediante el análisis de la actividad del protocolo.
2. Sistema inalámbrico de prevención de intrusiones (WIPS) : supervise una red inalámbrica en busca de tráfico sospechoso mediante el análisis de los protocolos de red inalámbrica.
3. Análisis del comportamiento de la red (NBA) : examina el tráfico de la red para identificar amenazas que generan flujos de tráfico inusuales, como ataques distribuidos de denegación de servicio (DDoS), ciertas formas de malware y violaciones de políticas.
4. Sistema de prevención de intrusiones basado en host (HIPS) : un paquete de software instalado que monitorea un único host en busca de actividad sospechosa mediante el análisis de los eventos que ocurren dentro de ese host.

Métodos de detección

La mayoría de los sistemas de prevención de intrusiones utilizan uno de tres métodos de detección: análisis de protocolo basado en firmas, basado en anomalías estadísticas y análisis de estado. ^{[23] : 301  [27]}

1. Detección basada en firmas : el IDS basado en firmas monitorea los paquetes en la red y los compara con patrones de ataque preconfigurados y predeterminados conocidos como firmas. Si bien es el método más simple y eficaz, no detecta ataques desconocidos ni variantes de ataques conocidos. ^[28]
2. Detección estadística basada en anomalías : un IDS basado en anomalías monitoreará el tráfico de la red y lo comparará con una línea de base establecida. La línea de base identificará qué es "normal" para esa red: qué tipo de ancho de banda se usa generalmente y qué protocolos se usan. Sin embargo, puede generar una alarma de falso positivo por uso legítimo del ancho de banda si las líneas de base no están configuradas de manera inteligente. ^[29] Los modelos de conjunto que utilizan el coeficiente de correlación de Matthews para identificar el tráfico de red no autorizado han obtenido una precisión del 99,73%. ^[30]
3. Detección de análisis de protocolo con estado : este método identifica desviaciones de los estados del protocolo comparando los eventos observados con "perfiles predeterminados de definiciones generalmente aceptadas de actividad benigna". ^[23] Si bien es capaz de conocer y rastrear los estados del protocolo, requiere importantes recursos. ^[31]

Colocación

La ubicación correcta de los sistemas de detección de intrusos es fundamental y varía según la red. La ubicación más común es detrás del firewall, en el borde de una red. Esta práctica proporciona al IDS una alta visibilidad del tráfico que ingresa a su red y no recibirá ningún tráfico entre los usuarios de la red. El borde de la red es el punto en el que una red se conecta a la extranet. Otra práctica que se puede lograr si hay más recursos disponibles es una estrategia en la que un técnico colocará su primer IDS en el punto de mayor visibilidad y dependiendo de la disponibilidad de recursos colocará otro en el siguiente punto más alto, continuando ese proceso hasta que todos los puntos del La red está cubierta. ^[32]

Si un IDS se coloca más allá del firewall de una red, su objetivo principal sería defenderse del ruido de Internet pero, más importante aún, defenderse de ataques comunes, como escaneos de puertos y mapeadores de red. Un IDS en esta posición monitorearía las capas 4 a 7 del modelo OSI y estaría basado en firmas. Esta es una práctica muy útil, porque en lugar de mostrar infracciones reales en la red que logró atravesar el firewall, se mostrarán intentos de intrusión, lo que reduce la cantidad de falsos positivos. El IDS en esta posición también ayuda a reducir la cantidad de tiempo que lleva descubrir ataques exitosos contra una red. ^[33]

A veces, un IDS con funciones más avanzadas se integrará con un firewall para poder interceptar ataques sofisticados que ingresan a la red. Ejemplos de funciones avanzadas incluirían múltiples contextos de seguridad en el nivel de enrutamiento y el modo puente. Todo esto, a su vez, reduce potencialmente los costos y la complejidad operativa. ^[33]

Otra opción para la colocación de IDS es dentro de la red real. Estos revelarán ataques o actividades sospechosas dentro de la red. Ignorar la seguridad dentro de una red puede causar muchos problemas: permitirá que los usuarios generen riesgos de seguridad o permitirá que un atacante que ya haya irrumpido en la red deambule libremente. La intensa seguridad de la intranet dificulta incluso a los piratas informáticos dentro de la red maniobrar y aumentar sus privilegios. ^[33]

Limitaciones

• El ruido puede limitar gravemente la eficacia de un sistema de detección de intrusos. Los paquetes defectuosos generados por errores de software , datos DNS corruptos y paquetes locales que se escaparon pueden crear una tasa de falsas alarmas significativamente alta. ^[34]
• No es raro que el número de ataques reales sea muy inferior al número de falsas alarmas . El número de ataques reales suele ser tan inferior al número de falsas alarmas que los ataques reales suelen pasar desapercibidos e ignorados. ^{[34] [ necesita actualización ]}
• Muchos ataques están dirigidos a versiones específicas de software que normalmente están desactualizadas. Se necesita una biblioteca de firmas en constante cambio para mitigar las amenazas. Las bases de datos de firmas obsoletas pueden dejar al IDS vulnerable a estrategias más nuevas. ^[34]
• Para los IDS basados ​​en firmas, habrá un desfase entre el descubrimiento de una nueva amenaza y la aplicación de su firma al IDS. Durante este tiempo de demora, el IDS no podrá identificar la amenaza. ^[29]
• No puede compensar los débiles mecanismos de identificación y autenticación o las debilidades en los protocolos de red . Cuando un atacante obtiene acceso debido a mecanismos de autenticación débiles, IDS no puede evitar que el adversario cometa malas prácticas.
• La mayoría de los dispositivos de detección de intrusiones no procesan los paquetes cifrados. Por lo tanto, el paquete cifrado puede permitir una intrusión en la red que no se descubre hasta que se hayan producido intrusiones más importantes en la red.
• El software de detección de intrusiones proporciona información basada en la dirección de red asociada con el paquete IP que se envía a la red. Esto resulta beneficioso si la dirección de red contenida en el paquete IP es precisa. Sin embargo, la dirección contenida en el paquete IP podría ser falsificada o codificada.
• Debido a la naturaleza de los sistemas NIDS y a la necesidad de que analicen los protocolos a medida que se capturan, los sistemas NIDS pueden ser susceptibles a los mismos ataques basados ​​en protocolos a los que los hosts de la red pueden ser vulnerables. Los datos no válidos y los ataques a la pila TCP/IP pueden provocar que un NIDS falle. ^[35]
• Las medidas de seguridad en la computación en la nube no consideran la variación de las necesidades de privacidad del usuario. ^[36] Proporcionan el mismo mecanismo de seguridad para todos los usuarios, sin importar si los usuarios son empresas o un individuo. ^[36]

Técnicas de evasión

Hay una serie de técnicas que utilizan los atacantes; las siguientes se consideran medidas "simples" que se pueden tomar para evadir el IDS:

• Fragmentación: al enviar paquetes fragmentados, el atacante pasará desapercibido y podrá eludir fácilmente la capacidad del sistema de detección para detectar la firma del ataque.
• Evitar valores predeterminados: el puerto TCP utilizado por un protocolo no siempre proporciona una indicación al protocolo que se está transportando. Por ejemplo, un IDS puede esperar detectar un troyano en el puerto 12345. Si un atacante lo había reconfigurado para usar un puerto diferente, es posible que el IDS no pueda detectar la presencia del troyano.
• Ataques coordinados de bajo ancho de banda: coordinar un escaneo entre numerosos atacantes (o agentes) y asignar diferentes puertos o hosts a diferentes atacantes dificulta que el IDS correlacione los paquetes capturados y deduzca que hay un escaneo de red en progreso.
• Suplantación de direcciones /proxying: los atacantes pueden aumentar la dificultad de la capacidad de los administradores de seguridad para determinar el origen del ataque mediante el uso de servidores proxy mal protegidos o configurados incorrectamente para rechazar un ataque. Si un servidor falsifica y rebota la fuente, a IDS le resulta muy difícil detectar el origen del ataque.
• Evasión de cambio de patrones: IDS generalmente se basa en la "coincidencia de patrones" para detectar un ataque. Al cambiar ligeramente los datos utilizados en el ataque, es posible evadir la detección. Por ejemplo, un servidor de Protocolo de acceso a mensajes de Internet (IMAP) puede ser vulnerable a un desbordamiento del búfer y un IDS puede detectar la firma de ataque de 10 herramientas de ataque comunes. Al modificar la carga útil enviada por la herramienta, para que no se parezca a los datos que espera el IDS, es posible evadir la detección.

Desarrollo

El primer concepto preliminar de IDS fue delineado en 1980 por James Anderson de la Agencia de Seguridad Nacional y consistía en un conjunto de herramientas destinadas a ayudar a los administradores a revisar los registros de auditoría. ^[37] Los registros de acceso de usuarios, registros de acceso a archivos y registros de eventos del sistema son ejemplos de pistas de auditoría.

Fred Cohen señaló en 1987 que es imposible detectar una intrusión en todos los casos y que los recursos necesarios para detectar intrusiones crecen con la cantidad de uso. ^[38]

Dorothy E. Denning , con la ayuda de Peter G. Neumann , publicó un modelo de IDS en 1986 que formó la base de muchos sistemas actuales. ^[39] Su modelo utilizó estadísticas para la detección de anomalías y dio como resultado un IDS temprano en SRI International llamado Sistema Experto de Detección de Intrusiones (IDES), que se ejecutaba en estaciones de trabajo Sun y podía considerar datos a nivel de usuario y de red. ^[40] IDES tenía un enfoque dual con un sistema experto basado en reglas para detectar tipos conocidos de intrusiones más un componente de detección de anomalías estadísticas basado en perfiles de usuarios, sistemas host y sistemas de destino. La autora de "IDES: Un sistema inteligente para detectar intrusos", Teresa F. Lunt, propuso añadir una red neuronal artificial como tercer componente. Dijo que los tres componentes podrían luego informar a un solucionador. SRI siguió al IDES en 1993 con el Sistema Experto de Detección de Intrusiones de Próxima Generación (NIDES). ^[41]

El sistema de alerta y detección de intrusiones Multics (MIDAS), un sistema experto que utiliza P-BEST y Lisp , fue desarrollado en 1988 basándose en el trabajo de Denning y Neumann. ^[42] Haystack también se desarrolló ese año utilizando estadísticas para reducir los rastros de auditoría. ^[43]

En 1986, la Agencia de Seguridad Nacional inició un programa de transferencia de investigación del IDS bajo la dirección de Rebecca Bace . Posteriormente, Bace publicó el texto fundamental sobre el tema, IntrusionDetection , en 2000. ^[44]

Wisdom & Sense (W&S) fue un detector de anomalías basado en estadísticas desarrollado en 1989 en el Laboratorio Nacional de Los Álamos . ^[45] W&S creó reglas basadas en análisis estadísticos y luego las utilizó para la detección de anomalías.

En 1990, la máquina inductiva basada en el tiempo (TIM) detectó anomalías mediante el aprendizaje inductivo de patrones de usuario secuenciales en Common Lisp en una computadora VAX 3500. ^[46] El Network Security Monitor (NSM) realizó enmascaramiento en matrices de acceso para la detección de anomalías en una estación de trabajo Sun-3/50. ^[47] El Asistente del Oficial de Seguridad de la Información (ISOA) era un prototipo de 1990 que consideraba una variedad de estrategias que incluían estadísticas, un verificador de perfiles y un sistema experto. ^[48] ​​ComputerWatch en AT&T Bell Labs utilizó estadísticas y reglas para la reducción de datos de auditoría y la detección de intrusiones. ^[49]

Luego, en 1991, investigadores de la Universidad de California en Davis crearon un prototipo de Sistema Distribuido de Detección de Intrusiones (DIDS), que también era un sistema experto. ^[50] El Reportero de Intrusiones y Detección de Anomalías de Red (NADIR), también en 1991, fue un prototipo de IDS desarrollado en la Red de Computación Integrada (ICN) del Laboratorio Nacional de Los Álamos, y estuvo fuertemente influenciado por el trabajo de Denning y Lunt. ^[51] NADIR utilizó un detector de anomalías basado en estadísticas y un sistema experto.

El Laboratorio Nacional Lawrence Berkeley anunció Bro en 1998, que utilizaba su propio lenguaje de reglas para el análisis de paquetes a partir de datos libpcap . ^[52] Network Flight Recorder (NFR) en 1999 también utilizó libpcap. ^[53]

APE fue desarrollado como un rastreador de paquetes, también usando libpcap, en noviembre de 1998, y pasó a llamarse Snort un mes después. Desde entonces, Snort se ha convertido en el sistema IDS/IPS usado más grande del mundo con más de 300.000 usuarios activos. ^[54] Puede monitorear tanto sistemas locales como puntos de captura remotos utilizando el protocolo TZSP .

El IDS de Auditoría de Análisis de Datos y Minería (ADAM) en 2001 utilizó tcpdump para crear perfiles de reglas para clasificaciones. ^[55] En 2003, Yongguang Zhang y Wenke Lee defienden la importancia del IDS en redes con nodos móviles. ^[56]

En 2015, Viegas y sus colegas ^[57] propusieron un motor de detección de intrusiones basado en anomalías, destinado al sistema en chip (SoC) para aplicaciones en Internet de las cosas (IoT), por ejemplo. La propuesta aplica el aprendizaje automático para la detección de anomalías, proporcionando eficiencia energética a una implementación de clasificadores de árbol de decisión, Naive-Bayes y k-vecinos más cercanos en una CPU Atom y su implementación compatible con hardware en una FPGA. ^{[58] [59]} En la literatura, este fue el primer trabajo que implementa cada clasificador de manera equivalente en software y hardware y mide su consumo de energía en ambos. Además, fue la primera vez que se midió el consumo de energía para extraer cada característica utilizada para realizar la clasificación de paquetes de red, implementadas en software y hardware. ^[60]

Ver también

• Sistema de detección de intrusos basado en protocolo de aplicación (APIDS)
• Sistema inmunológico artificial
• interruptor de derivación
• Ataque de denegación de servicio
• análisis de DNS
• Formato de intercambio de mensajes de detección de intrusiones
• Sistema de detección de intrusos basado en protocolos (PIDS)
• Seguridad adaptativa en tiempo real
• Gestion de seguridad
• Escudos arriba
• Protección definida por software

Referencias

1. "¿Qué es un sistema de detección de intrusos (IDS)?". Tecnologías de software de Check Point. 2023 . Consultado el 27 de diciembre de 2023 .
2. Martellini, Mauricio; Malizia, Andrea (30 de octubre de 2017). Desafíos cibernéticos y químicos, biológicos, radiológicos, nucleares y explosivos: amenazas y contraesfuerzos. Saltador. ISBN 9783319621081.
3. Axelsson, S (2000). "Sistemas de detección de intrusiones: estudio y taxonomía" (consultado el 21 de mayo de 2018)
4. Newman, RC (23 de junio de 2009). Seguridad informática: protección de los recursos digitales. Aprendizaje de Jones y Bartlett. ISBN 978-0-7637-5994-0. Consultado el 27 de diciembre de 2023 .
5. Mahoma, Mohssen; Rehman, Habib-ur (2 de diciembre de 2015). Honeypots y enrutadores: recopilación de ataques de Internet. Prensa CRC. ISBN 9781498702201.
6. Vacca, John R. (26 de agosto de 2013). Seguridad de redes y sistemas. Elsevier. ISBN 9780124166950.
7. Vacca, John R. (4 de mayo de 2009). Manual de seguridad informática y de la información. Morgan Kaufman. ISBN 9780080921945.
8. Gurley., Bace, Rebecca (2001). Sistema de deteccion de intrusos. [Departamento de Comercio de EE. UU., Administración de Tecnología, Instituto Nacional de Estándares y Tecnología]. OCLC  70689163.{{cite book}}: CS1 maint: multiple names: authors list (link)
9. Garzía, Fabio; Lombardi, Mara; Ramalingam, Soodamani (2017). "Una Internet integrada de todo - Controlador de algoritmos genéticos - Marco de redes neuronales artificiales para la seguridad / gestión y soporte de sistemas de seguridad". Conferencia Internacional de Carnahan sobre Tecnología de Seguridad (ICCST) de 2017 . IEEE. págs. 1–6. doi :10.1109/ccst.2017.8167863. ISBN 9781538615850. S2CID  19805812.
10. Vilela, Douglas WFL; Lotufo, Anna Diva P.; Santos, Carlos R. (2018). "Evaluación de IDS de red neuronal Fuzzy ARTMAP aplicada a una base de datos IEEE 802.11w real". Conferencia conjunta internacional sobre redes neuronales (IJCNN) de 2018 . IEEE. págs. 1–7. doi :10.1109/ijcnn.2018.8489217. ISBN 9781509060146. S2CID  52987664.
11. Días, LP; Cerqueira, JJF; Assis, KDR; Almeida, RC (2017). "Uso de redes neuronales artificiales en sistemas de detección de intrusiones a redes informáticas". 2017 9° Ingeniería Informática e Ingeniería Electrónica (CEEC) . IEEE. págs. 145-150. doi :10.1109/ceec.2017.8101615. ISBN 9781538630075. S2CID  24107983.
12. Mundo de la red. IDG Network World Inc. 2003-09-15.
13. Novio, Frank M.; Novio, Kevin; Jones, Stephan S. (19 de agosto de 2016). Seguridad de redes y datos para no ingenieros. Prensa CRC. ISBN 9781315350219.
14. Brandon Lokesak (4 de diciembre de 2008). "Una comparación entre los sistemas de detección de intrusiones basados ​​en firmas y en anomalías" ( PPT ) . www.iup.edu .
15. Douligeris, Christos; Serpanos, Dimitrios N. (9 de febrero de 2007). Seguridad de la red: estado actual y direcciones futuras. John Wiley e hijos. ISBN 9780470099735.
16. Rowayda, A. Sadek; M Sami, Soliman; Hagar, S Elsayed (noviembre de 2013). "Sistema eficaz de detección de intrusiones de anomalías basado en red neuronal con variable indicadora y reducción aproximada del conjunto". Revista Internacional de Temas de Ciencias de la Computación (IJCSI) . 10 (6).
17. "Informe Gartner: Guía de mercado para análisis del comportamiento de entidades y usuarios". Septiembre de 2015.
18. "Gartner: ciclo publicitario para la protección de infraestructuras, 2016".
19. "Gartner: Definición de sistemas de prevención y detección de intrusiones" . Consultado el 20 de septiembre de 2016 .
20. Scarone, Karen; Mell, Peter (febrero de 2007). «Guía de Sistemas de Prevención y Detección de Intrusos (IDPS)» (PDF) . Centro de recursos de seguridad informática (800–94). Archivado desde el original (PDF) el 1 de junio de 2010 . Consultado el 1 de enero de 2010 .
21. Bufandane, KA; Mell, PM (febrero de 2007). "NIST - Guía de sistemas de prevención y detección de intrusiones (IDPS)" (PDF) . doi : 10.6028/NIST.SP.800-94 . Consultado el 27 de diciembre de 2023 .
22. Newman, RC (19 de febrero de 2009). Seguridad informática: protección de los recursos digitales. Aprendizaje de Jones y Bartlett. ISBN 978-0-7637-5994-0. Consultado el 27 de diciembre de 2023 .
23. Michael E. Whitman; Herbert J. Mattord (2009). Principios de Seguridad de la Información. Cengage Aprendizaje EMEA. ISBN 978-1-4239-0177-8. Consultado el 25 de junio de 2010 .
24. Tim Boyles (2010). Guía de estudios de seguridad CCNA: examen 640-553. John Wiley e hijos. pag. 249.ISBN _ 978-0-470-52767-2. Consultado el 29 de junio de 2010 .
25. Harold F. Tipton; Micki Krause (2007). Manual de gestión de seguridad de la información. Prensa CRC. pag. 1000.ISBN _ 978-1-4200-1358-0. Consultado el 29 de junio de 2010 .
26. John R. Vacca (2010). Gestión de la seguridad de la información. Singreso. pag. 137.ISBN _ 978-1-59749-533-2. Consultado el 29 de junio de 2010 .
27. Engin Kirda; Somesh Jha; Davide Balzarotti (2009). Avances recientes en la detección de intrusiones: 12.º Simposio internacional, RAID 2009, Saint-Malo, Francia, 23 al 25 de septiembre de 2009, Actas. Saltador. pag. 162.ISBN _ 978-3-642-04341-3. Consultado el 29 de junio de 2010 .
28. Liao, Hung-Jen; Richard Lin, Chun-Hung; Lin, Ying-Chih; Tung, Kuang-Yuan (1 de enero de 2013). "Sistema de detección de intrusiones: una revisión exhaustiva". Revista de aplicaciones informáticas y de redes . 36 (1): 16-24. doi :10.1016/j.jnca.2012.09.004. ISSN  1084-8045.
29. nitin.; Mattord, verma (2008). Principios de Seguridad de la Información. Curso de Tecnología. págs. 290–301. ISBN 978-1-4239-0177-8.
30. Nti, Isaac Kofi; Nyarko-Boateng, Owusu; Adekoya, Adebayo Félix; Arjun, R (diciembre de 2021). "Detección de intrusiones en la red con StackNet: un enfoque de selección de alumnos débiles basado en el coeficiente phi". 2021 22ª Conferencia Árabe Internacional sobre Tecnología de la Información (ACIT) . págs. 1–11. doi :10.1109/ACIT53391.2021.9677338. ISBN 978-1-6654-1995-6. S2CID  246039483.
31. Liao, Hung-Jen; Richard Lin, Chun-Hung; Lin, Ying-Chih; Tung, Kuang-Yuan (1 de enero de 2013). "Sistema de detección de intrusiones: una revisión exhaustiva". Revista de aplicaciones informáticas y de redes . 36 (1): 16-24. doi :10.1016/j.jnca.2012.09.004. ISSN  1084-8045.
32. "Mejores prácticas de IDS". ciberseguridad.att.com . Consultado el 26 de junio de 2020 .
33. Richardson, Stephen (24 de febrero de 2020). "Colocación de IDS: seguridad CCIE". Experto certificado por Cisco . Consultado el 26 de junio de 2020 .
34. Anderson, Ross (2001). Ingeniería de seguridad: una guía para construir sistemas distribuidos confiables. Nueva York: John Wiley & Sons . págs. 387–388. ISBN 978-0-471-38922-4.
35. Schupp, Steve (1 de diciembre de 2000). "Limitaciones de la detección de intrusiones en la red" (PDF) . Certificación Global de Aseguramiento de la Información . Consultado el 17 de diciembre de 2023 .
36. Hawedi, Mohamed; Talhi, Chamseddine; Boucheneb, Hanifa (1 de septiembre de 2018). "Sistema de detección de intrusiones multiinquilino para nube pública (MTIDS)". La revista de supercomputación . 74 (10): 5199–5230. doi :10.1007/s11227-018-2572-6. ISSN  0920-8542. S2CID  52272540.
37. Anderson, James P. (15 de abril de 1980). "Monitoreo y vigilancia de amenazas a la seguridad informática" (PDF) . csrc.nist.gov . Washington, PA, James P. Anderson Co. Archivado (PDF) desde el original el 14 de mayo de 2019 . Consultado el 12 de octubre de 2021 .
38. David M. Ajedrez; Steve R. Blanco (2000). "Un virus informático indetectable". Actas de la conferencia Virus Bulletin . CiteSeerX 10.1.1.25.1508 . 
39. Denning, Dorothy E., "Un modelo de detección de intrusiones", Actas del séptimo simposio del IEEE sobre seguridad y privacidad, mayo de 1986, páginas 119-131
40. Lunt, Teresa F., "IDES: un sistema inteligente para detectar intrusos", Actas del Simposio sobre seguridad informática; Amenazas y Contramedidas; Roma, Italia, 22 y 23 de noviembre de 1990, páginas 110 a 121.
41. Lunt, Teresa F., "Detección de intrusos en sistemas informáticos", Conferencia de 1993 sobre auditoría y tecnología informática, SRI International
42. Sebring, Michael M. y Whitehurst, R. Alan., "Sistemas expertos en detección de intrusiones: un estudio de caso", 11ª Conferencia Nacional de Seguridad Informática, octubre de 1988
43. Smaha, Stephen E., "Haystack: un sistema de detección de intrusiones", Cuarta conferencia sobre aplicaciones de seguridad informática aeroespacial, Orlando, FL, diciembre de 1988
44. McGraw, Gary (mayo de 2007). "Silver Bullet habla con Becky Bace" (PDF) . Revista IEEE sobre seguridad y privacidad . 5 (3): 6–9. doi :10.1109/MSP.2007.70. Archivado desde el original (PDF) el 19 de abril de 2017 . Consultado el 18 de abril de 2017 .
45. Vaccaro, HS y Liepins, GE, "Detección de actividad anómala de sesión informática", Simposio IEEE de 1989 sobre seguridad y privacidad, mayo de 1989
46. Teng, Henry S., Chen, Kaihu y Lu, Stephen CY, "Detección adaptativa de anomalías en tiempo real mediante patrones secuenciales generados inductivamente", Simposio IEEE de 1990 sobre seguridad y privacidad
47. Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, Wood, Jeff y Wolber, David, "A Network Security Monitor", Simposio de 1990 sobre investigación en seguridad y privacidad, Oakland, CA, páginas 296–304
48. Winkeler, JR, "Un prototipo UNIX para la detección de intrusiones y anomalías en redes seguras", Decimotercera Conferencia Nacional de Seguridad Informática, Washington, DC, páginas 115-124, 1990
49. Dowell, Cheri y Ramstedt, Paul, "The ComputerWatch Data Reduction Tool", Actas de la 13ª Conferencia Nacional de Seguridad Informática, Washington, DC, 1990
50. Snapp, Steven R, Brentano, James, Dias, Gihan V., Goan, Terrance L., Heberlein, L. Todd, Ho, Che-Lin, Levitt, Karl N., Mukherjee, Biswanath, Smaha, Stephen E., Grance, Tim, Teal, Daniel M. y Mansur, Doug, "DIDS (Sistema distribuido de detección de intrusiones): motivación, arquitectura y un prototipo temprano", 14ª Conferencia Nacional de Seguridad Informática, octubre de 1991, páginas 167–176.
51. Jackson, Kathleen, DuBois, David H. y Stallings, Cathy A., "Un enfoque gradual para la detección de intrusiones en la red", 14ª Conferencia Nacional de Seguridad Informática, 1991
52. Paxson, Vern, "Bro: Un sistema para detectar intrusos en la red en tiempo real", Actas del séptimo simposio de seguridad de USENIX, San Antonio, TX, 1998
53. Amoroso, Edward, "Detección de intrusiones: introducción a la vigilancia, correlación, rastreo, trampas y respuesta de Internet", Intrusion.Net Books, Sparta, Nueva Jersey, 1999, ISBN 0-9666700-7-8 
54. Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Dr. Everett F. (Skip) Jr., Esler, Joel., Foster, James C., Jonkman Marty, Raffael y Poor, Mike, "Snort IDS y kit de herramientas IPS", Syngress, 2007, ISBN 978-1-59749-099-3 
55. Barbara, Daniel, Couto, Julia, Jajodia, Sushil, Popyack, Leonard y Wu, Ningning, "ADAM: Detecting Intrusions by Data Mining", Actas del taller IEEE sobre garantía y seguridad de la información, West Point, Nueva York, 5 de junio –6, 2001
56. Técnicas de detección de intrusiones para redes inalámbricas móviles, ACM WINET 2003 <http://www.cc.gatech.edu/~wenke/papers/winet03.pdf>
57. Viegas, E.; Santín, AO; França, A.; Jasinski, R.; Pedroni, VA; Oliveira, LS (1 de enero de 2017). "Hacia un motor de detección de intrusiones basado en anomalías energéticamente eficiente para sistemas integrados". Transacciones IEEE en computadoras . 66 (1): 163-177. doi :10.1109/TC.2016.2560839. ISSN  0018-9340. S2CID  20595406.
58. Francia, AL; Jasinski, R.; Cemín, P.; Pedroni, VA; Santín, AO (1 de mayo de 2015). "El costo energético de la seguridad de la red: una comparación entre hardware y software". Simposio internacional IEEE sobre circuitos y sistemas (ISCAS) 2015 . págs. 81–84. doi :10.1109/ISCAS.2015.7168575. ISBN 978-1-4799-8391-9. S2CID  6590312.
59. Francia, ALP d; Jasinski, RP; Pedroni, VA; Santín, AO (1 de julio de 2014). "Trasladar la protección de la red del software al hardware: un análisis de eficiencia energética". Simposio anual de IEEE Computer Society 2014 sobre VLSI . págs. 456–461. doi :10.1109/ISVLSI.2014.89. ISBN 978-1-4799-3765-3. S2CID  12284444.
60. "Hacia un motor de detección de intrusiones basado en anomalías energéticamente eficiente para sistemas integrados" (PDF) . SecPLab .

 Este artículo incorpora material de dominio público de Karen Scarone, Peter Mell. Guía de sistemas de prevención y detección de intrusiones, SP800-94 (PDF) . Instituto Nacional de Estándares y Tecnología . Consultado el 1 de enero de 2010 .

Otras lecturas

• Bace, Rebecca Gurley (2000). Detección de intrusiones. Indianápolis, IN: Macmillan Technical. ISBN 978-1578701858.
• Bezroukov, Nikolai (11 de diciembre de 2008). "Problemas arquitectónicos de la infraestructura de detección de intrusiones en grandes empresas (revisión 0.82)". Panorama suave . Consultado el 30 de julio de 2010 .
• PM Mafra y JS Fraga y AO Santin (2014). "Algoritmos para un IDS distribuido en MANET". Revista de Ciencias de la Computación y de Sistemas . 80 (3): 554–570. doi : 10.1016/j.jcss.2013.06.011 .
• Hansen, James V.; Benjamín Lowry, Paul; Meservy, Rayman; McDonald, Dan (2007). "Programación genética para la prevención del ciberterrorismo mediante detección de intrusiones dinámica y evolutiva". Sistemas de soporte a la decisión (DSS) . 43 (4): 1362-1374. doi :10.1016/j.dss.2006.04.004. SSRN  877981.
• Bufanda, Karen; Mell, Peter (febrero de 2007). «Guía de Sistemas de Prevención y Detección de Intrusos (IDPS)» (PDF) . Centro de recursos de seguridad informática (800–94). Archivado desde el original (PDF) el 1 de junio de 2010 . Consultado el 1 de enero de 2010 .
• Singh, Abhishek. "Evasiones en sistemas de detección de prevención de intrusiones". Boletín de virus . Consultado el 1 de abril de 2010 .
• Dubey, Abhinav. "Implementación de Sistema de Detección de Intrusos en la Red mediante Aprendizaje Profundo". Medio . Consultado el 17 de abril de 2021 .

• Al_Ibaisi, T., Abu-Dalhoum, AE-L., Al-Rawi, M., Alfonseca, M. y Ortega, A. (sin fecha). Detección de intrusiones en la red mediante algoritmo genético para encontrar la mejor firma de ADN. http://www.wseas.us/e-library/transactions/systems/2008/27-535.pdf

• Ibaisi, TA, Kuhn, S., Kaiiali, M. y Kazim, M. (2023). Detección de intrusiones en la red basada en la estructura de secuencia de aminoácidos mediante aprendizaje automático. Electrónica, 12(20), 4294. https://doi.org/10.3390/electronics12204294

enlaces externos

• Sistemas de detección de intrusiones en Curlie
• Vulnerabilidades y exposiciones comunes (CVE) por producto
• NIST SP 800-83, Guía para la prevención y el manejo de incidentes de malware
• NIST SP 800-94, Guía de sistemas de prevención y detección de intrusiones (IDPS)
• Estudio de Gartner "Cuadrante Mágico de Dispositivos de Sistemas de Prevención de Intrusiones en la Red"