Clasificación de la detección de intrusiones
Cuando ocurre o se intenta una intrusión, el sistema IDS emitirá un mensaje de alerta para notificar al administrador del sistema. Si la consola está en la misma máquina que el sistema IDS, el mensaje de alarma se mostrará en el monitor y puede ir acompañado de un mensaje audible. En el caso de una consola remota, las alertas se envían al administrador a través de métodos integrados en el sistema IDS (generalmente cifrados), SNMP (Protocolo simple de administración de red, generalmente no cifrado), correo electrónico, SMS (mensaje corto) o una combinación de lo anterior. (Excepción)
La mayoría de los IDS generan alertas cuando los eventos coinciden con señales de ataques conocidos. Los sistemas de detección de intrusiones basados en anomalías crearán un esquema aproximado de los hosts o redes que están activos en ese momento. Cuando ocurre un evento fuera de este esquema, IDS emitirá una alarma, por ejemplo, alguien ha hecho algo que no se había hecho antes, por ejemplo, el usuario de repente obtuvo permisos de administrador o directorio raíz. Algunos fabricantes de IDS consideran este enfoque como una función heurística, pero un IDS heurístico debería ser más inteligente en términos de razonamiento y juicio. (hardware IDS)
Además del software IDS que debe instalarse en los sistemas existentes, también se puede comprar en el mercado algún hardware IDS disponible en el mercado, que se puede utilizar siempre que está conectado a la red. Parte del hardware IDS disponible incluye CaptIO, Cisco Secure IDS, OpenSnort, Dragon y SecureNetPro. ArachNIDS es una base de datos de firmas de ataques desarrollada por Max Visi, que se actualiza dinámicamente y es adecuada para varios sistemas de detección de intrusiones basados en red.
ARIS: Registro y ataque. Servicio de inteligencia (servicio de inteligencia y registro de incidentes de ataques)
ARIS es un servicio adicional proporcionado por SecurityFocus, que permite a los usuarios conectarse de forma anónima a Internet y enviar incidentes de seguridad de la red a SecurityFocus. Luego, SecurityFocus combinará estos datos con datos de muchos otros participantes para, en última instancia, formar análisis estadísticos detallados de seguridad de la red y predicciones de tendencias, que se publicarán en Internet. Su dirección URL es. (Ataque)
Un ataque puede entenderse como un intento de penetrar un sistema o eludir la política de seguridad del sistema para obtener información, modificar información e interrumpir la funcionalidad de la red o sistema objetivo. Los siguientes son los tipos más comunes de ataques de Internet que IDS puede detectar:
Ataque tipo 1-DOS (ataque de denegación de servicio): un ataque DOS no destruye la seguridad de un sistema mediante piratería, simplemente hace que el sistema se Paralice, provocando que niegue servicios a los usuarios. Los tipos incluyen desbordamiento del buffer, agotamiento de los recursos del sistema por inundación, etc.
Tipo de ataque 2 - DDOS (Denegación de servicio distribuido): un ataque DOS estándar utiliza una gran cantidad de datos de un host para atacar un host remoto, pero no puede enviar suficientes paquetes de datos para lograr el resultado deseado. El resultado deseado es DDOS, que ataca a un objetivo desde múltiples hosts dispersos, agota los recursos del sistema remoto o invalida su conexión.
Tipo de ataque 3 - pitufo: Este es un ataque de la vieja escuela que todavía ocurre de vez en cuando. El atacante utiliza la dirección de origen del objetivo del ataque falsificada para hacer ping a una dirección transmitida por el amplificador Smurf, y luego todos los hosts activos responden al objetivo, desconectando así la red.
Tipo de ataque 4 - Caballo de Troya: El término troyano proviene del caballo de Troya utilizado por los antiguos griegos para atacar a los caballos de Troya. Los caballos de Troya transportaban soldados griegos. Cuando los caballos de Troya fueron llevados a la ciudad, los soldados los expulsaron y atacaron la ciudad y sus habitantes. En términos informáticos, originalmente se refiere a software que parece un programa legítimo pero que en realidad contiene malware. De esta forma, cuando el usuario ejecuta un programa legítimo, se instala malware sin saberlo. Sin embargo, dado que la mayoría de los programas maliciosos instalados de esta forma son herramientas de control remoto, el término troyano pronto evolucionó para referirse a dichas herramientas, como BackOrifice, SubSeven, NetBus, etc. (Respuesta automática)
Además de alertar sobre ataques, algunos IDS también pueden defenderse automáticamente contra estos ataques. Hay muchas formas de resistirse: en primer lugar, puede reconfigurar enrutadores y cortafuegos para denegar los flujos de información desde la misma dirección; en segundo lugar, puede cortar la conexión enviando paquetes de reinicio en la red; Sin embargo, existen problemas con ambos enfoques.
A su vez, un atacante puede utilizar el dispositivo reconfigurado. El método consiste en lanzar ataques haciéndose pasar por direcciones amigables, y luego el IDS configurará enrutadores y cortafuegos para rechazar estas direcciones, lo que en realidad es una denegación de servicio a "la propia gente". El método de envío de paquetes de reinicio requiere una interfaz de red activa y, por lo tanto, es vulnerable a ataques. Una solución es configurar interfaces de red activas en el firewall o utilizar un procedimiento de contrato especial, evitando así los requisitos de pila de IP estándar. (Equipo de respuesta a emergencias informáticas)
Este término fue elegido por el primer Equipo de respuesta a emergencias informáticas, fundado en la Universidad Carnegie Mellon. Responden y toman medidas ante incidentes de seguridad informática. Muchas organizaciones tienen CERT, como CNCERT/CC (Centro de Coordinación de Respuesta a Emergencias de la Red Informática de China). Debido a que la palabra "emergencia" no es lo suficientemente clara, muchas organizaciones utilizan la palabra "incidente", dando lugar a un nuevo término "Equipo de respuesta a incidentes informáticos (CIRT)". La palabra respuesta a veces se reemplaza por tratamiento, lo que significa que la respuesta implica una acción de emergencia en lugar de un estudio a largo plazo. (Marco común de detección de intrusiones; Marco común de detección de intrusiones)
CIDF intenta estandarizar la detección de intrusiones hasta cierto punto y desarrollar algunos protocolos e interfaces de programas de aplicación para que la información y los recursos puedan compartirse entre proyectos de investigación de detección de intrusiones. Los componentes de detección de intrusiones también se pueden reutilizar en otros sistemas. (Equipo de respuesta a incidentes informáticos)
CIRT evolucionó a partir del CERT y representa un cambio en la comprensión filosófica de los incidentes de seguridad. CERT fue pensado originalmente para emergencias informáticas específicas, mientras que el término incidente de CIRT indica que no todos los incidentes son necesariamente emergencias, pero todas las emergencias pueden considerarse incidentes. (Lenguaje común de especificación de intrusiones)
CISL es el lenguaje para que los componentes CIDF se comuniquen entre sí. Dado que CIDF es un intento de estandarizar protocolos e interfaces, CISL es un intento de estandarizar un lenguaje de investigación de detección de intrusiones. (Vulnerabilidades y exposiciones comunes)
Un viejo problema con las vulnerabilidades es que al diseñar escáneres o contramedidas, diferentes proveedores llamarán vulnerabilidades completamente diferentes. Además, algunos proveedores definirán múltiples características de una vulnerabilidad y las aplicarán a sus sistemas IDS, lo que dará a las personas la ilusión de que sus productos son más efectivos. MITRE creó CVE para estandarizar los nombres de las vulnerabilidades y es lógico que los proveedores participantes desarrollen productos IDS basados en este estándar. (Embalaje personalizado)
Al crear paquetes personalizados, podemos evitar algunas de las estructuras de paquetes habituales que pueden causar fraude de paquetes o hacer que la computadora que los recibe no sepa qué hacer con ellos. (falló la sincronización)
El término desincronización originalmente se refería al método de escapar de identificadores mediante números de serie. Algunos IDS pueden sentirse confundidos por la cantidad de secuencias que esperan, lo que hace imposible reconstruir los datos. Esta tecnología fue popular en 1998 y ya está obsoleta. En algunos artículos, el término "desincronización" se utiliza para referirse a otros métodos de escape de IDS. (Lista)
Después de esfuerzos de investigación pasiva y ingeniería social, el atacante comenzará a enumerar los recursos de la red. La enumeración significa que un atacante explora activamente una red para descubrir qué hay en ella y qué puede explotar. Como la acción ya no es pasiva, puede ser detectada. Eso sí, lo hacen lo más silenciosamente posible para evitar ser detectados. (Evasión)
Evasión se refiere a lanzar un ataque sin ser detectado exitosamente por el IDS. El truco consiste en dejar que el IDS sólo vea un aspecto, mientras que en realidad ataca otro objetivo, lo que se llama "construir un camino de tablones" y "cruzar en secreto viejas posiciones". Una forma de evacuación es establecer diferentes valores de TTL (tiempo de validez) para diferentes paquetes, de modo que la información que pasa a través del IDS parezca inocua, siendo el TTL de los bits de información inocua más corto que el TTL requerido para llegar al anfitrión objetivo. Una vez pasado el IDS y cerca del objetivo, las partes inofensivas se desechan, dejando sólo las partes dañinas. (Explotar)
Para cada vulnerabilidad, existe un mecanismo para explotarla. Para atacar un sistema, los atacantes escriben códigos o scripts de explotación.
Para cada vulnerabilidad, hay una manera de explotarla, y este método es la explotación de vulnerabilidades. Para atacar un sistema, los piratas informáticos escriben programas que aprovechan las vulnerabilidades.
Explotación de vulnerabilidad: Explotación de día cero (Zero-Time Exploitation)
La explotación de tiempo cero se refiere a una explotación que aún no se ha comprendido y sigue siendo rampante. tipo de La explotación aún no ha sido descubierta.
Una vez que la comunidad de seguridad de la red descubre una vulnerabilidad, pronto aparecerá un parche y su información de identificación característica se escribirá en el IDS para invalidar la vulnerabilidad y capturarla de manera efectiva. (omitido)
Los informes perdidos son ataques que el IDS no detecta o que los analistas no consideran inofensivos.
Verdadero positivo (falso positivo)
Una falsa alarma se refiere a un evento que en realidad es inofensivo y es detectado como un evento de ataque por el IDS.
Firewall (Firewall)
El firewall es la primera capa de seguridad de la red. Aunque no es un IDS, los registros del firewall pueden proporcionar información valiosa para un IDS. El principio de funcionamiento de un firewall es bloquear conexiones peligrosas basándose en reglas o estándares, como direcciones de origen, puertos, etc. (Foro del Equipo de Seguridad y Respuesta a Incidentes)
El primero es una coalición internacional de organizaciones gubernamentales y privadas para intercambiar información y coordinar acciones de respuesta. El primer puesto del año está muy valorado. (Cortar)
Si un paquete es demasiado grande para cargarlo, se debe dividir en fragmentos. La base para la segmentación es la unidad máxima de transmisión (MTU) de la red. Por ejemplo, la MTU de Token Ring es 4464 y la MTU de Ethernet es 1500. Por lo tanto, si se va a transmitir un paquete de Token Ring a Ethernet, se dividirá en pedazos pequeños y luego se reconstruirá en el destino. Aunque este procesamiento reducirá la eficiencia, el efecto de fragmentación sigue siendo muy bueno. Los piratas informáticos utilizan la fragmentación como forma de evadir el IDS y algunos ataques de DOS también utilizan técnicas de fragmentación. (Heurística)
La heurística se refiere al uso de IA (inteligencia artificial) en la detección de intrusiones. Los IDS que realmente utilizan la teoría heurística existen desde hace 10 años, pero no son lo suficientemente "inteligentes". Un atacante puede entrenarlo para que ignore el tráfico malicioso. Algunos IDS utilizan patrones anormales para detectar intrusiones y dichos IDS deben aprender continuamente cuáles son eventos normales. Algunos proveedores piensan que estos ya son IDS bastante "inteligentes", por lo que los consideran IDS heurísticos. Pero, de hecho, hay muy pocas identificaciones que realmente utilicen tecnología de inteligencia artificial para analizar los datos de entrada. (Proyecto Honeynet)
Honeynet es una herramienta de aprendizaje y un sistema de red con vulnerabilidades de seguridad. Cuando se produce una amenaza a la seguridad, la información de la intrusión se capturará y analizará para comprender al pirata informático. Honeynet es un proyecto de más de 30 miembros de organizaciones profesionales de seguridad dedicados a comprender las herramientas, tácticas y motivaciones utilizadas por los grupos de hackers y * * * compartir sus conocimientos. Instalaron una serie de honeypots para proporcionar redes Honeynet aparentemente vulnerables, observaron a los piratas informáticos que invadieron estos sistemas y estudiaron sus tácticas, motivaciones y comportamientos. (Honeypot)
Un honeypot es un sistema vulnerable que emula uno o más hosts vulnerables, lo que proporciona un blanco fácil para los piratas informáticos. Dado que el honeypot no tiene otras tareas que completar, todos los intentos de conectarse deben considerarse sospechosos. Otro propósito del honeypot es retrasar el ataque del atacante a su objetivo real y permitir que el atacante pierda tiempo en el honeypot. Al mismo tiempo, se protege el objetivo original y no se infringe el contenido verdaderamente valioso.
Uno de los propósitos originales de los honeypots es recopilar pruebas para procesar a los piratas informáticos maliciosos, lo que parece tener una sensación de "atrapamiento". Sin embargo, en algunos países, los honeypots no se pueden utilizar para recopilar pruebas para procesar a los piratas informáticos. (Clasificación IDS)
Hay muchos tipos diferentes de ID, como se enumeran a continuación:
Clasificación IDS 1-IDS de aplicación: El IDS de aplicación busca señales de intrusión para algunas aplicaciones especiales. señales Generalmente se refiere a aquellas aplicaciones que son relativamente frágiles, como servidores web y bases de datos. Existen muchos sistemas de detección de intrusiones basados en host que inicialmente se centran en el sistema operativo. Aunque de forma predeterminada no son específicos de la aplicación, se pueden entrenar y aplicar a las aplicaciones. Por ejemplo, KSE (un IDS basado en host) puede decirnos todo lo que sucede en el registro de eventos, incluida la salida de la aplicación en el informe del registro de eventos. Un ejemplo de IDS de aplicación es la versión del servidor web de Entercept.
IDS Categoría 2-IDS de consola: Para que IDS sea adecuado para entornos colaborativos, los agentes IDS distribuidos deben reportar información a la consola central. Muchas consolas centrales también pueden recibir datos de otras fuentes, como IDS, cortafuegos y enrutadores de otros fabricantes. La combinación de esta información proporciona una imagen más completa del ataque. Algunas consolas también agregan sus propias firmas de ataque a la consola a nivel de agente y brindan capacidades de administración remota.
Dichos productos IDS incluyen monitores de seguridad de redes inteligentes y plataformas de seguridad electrónica abiertas.
IDS Categoría 3-Comprobador de integridad de archivos: cuando un sistema se ve amenazado por un atacante, generalmente cambia algunos archivos clave para proporcionar acceso continuo y detección preventiva. Al agregar resúmenes de información (hashes cifrados) a archivos críticos, es posible verificar periódicamente si los archivos han sido modificados, lo que proporciona un cierto nivel de seguridad. Una vez que se detecta dicho cambio, el verificador de integridad emitirá una alerta. Además, cuando un sistema es atacado, los administradores del sistema pueden utilizar el mismo método para determinar el alcance del daño al sistema. Los comprobadores de archivos anteriores sólo podían detectar intrusiones mucho más tarde, lo cual es una "retrospectiva". Muchos productos que han surgido pueden verificar archivos mientras se accede a ellos y pueden considerarse productos IDS en tiempo real. Dichos productos incluyen cables trampa e intactos.
IDS Categoría 4-Honeypot: Ya hemos introducido los honeypots. Ejemplos de honeypots incluyen trampas y aguijones.
IDS Categoría 5: IDS basado en host: este tipo de IDS monitorea el sistema y los registros de eventos de múltiples fuentes y detecta actividad sospechosa. El IDS basado en host, también conocido como IDS de host, es el más adecuado para detectar el uso indebido por parte de personas internas confiables y las intrusiones que han penetrado la red sin métodos de detección tradicionales. Además de completar funciones similares a los lectores de registros de eventos, el IDS del host también analiza la firma de "evento/registro/hora". Muchos productos también incluyen características heurísticas. Debido a que el host IDS funciona casi en tiempo real, los errores del sistema se pueden detectar rápidamente, lo que tanto a los técnicos como al personal de seguridad les encanta. Los sistemas de detección de intrusiones basados en host se refieren a todos los tipos de sistemas de detección de intrusiones basados en hosts de servidor/estación de trabajo. Los productos de esta categoría incluyen Kane Security Enterprises y Dragon Attendant.
IDS Categoría 6-IDS híbrido: La estructura de las redes conmutadas modernas crea algunos problemas para las operaciones de detección de intrusos. En primer lugar, la red conmutada predeterminada no permite que la tarjeta de red funcione en modo promiscuo, lo que dificulta mucho la instalación de ID de red tradicionales. En segundo lugar, la alta velocidad de la red significa que NIDS descartará muchos paquetes. El IDS híbrido (Hybrid IDS) es una solución a estos problemas. Eleva el IDS a un nivel superior y combina los ID de los nodos de red y los ID de host. Aunque esta solución tiene una gran cobertura, también hay que tener en cuenta la gran cantidad de datos y el coste que supone. Muchas redes reservan ID mixtos sólo para servidores muy críticos. Algunos proveedores se refieren a los IDS que realizan múltiples tareas como IDS híbridos, pero en realidad esto es sólo con fines publicitarios. Los productos IDS híbridos incluyen sensores de servidor CentraxICE y RealSecure.
Categoría IDS 7 - IDS de red): NIDS): NIDS monitorea todo el tráfico de red que fluye a través del agente de monitoreo y responde a actividades anormales sospechosas y actividades con características de ataque. NIDS comenzó como un híbrido de rastreadores de paquetes y filtros IDS, pero se volvió más inteligente, capaz de descifrar protocolos y mantener el estado. NIDS tiene productos basados en aplicaciones que sólo se pueden aplicar si están instalados en la máquina host. NIDS analiza cada paquete en busca de firmas de ataques, pero bajo una carga de red alta, aún es necesario descartar algunos paquetes. Los productos del sistema de detección de intrusiones en la red incluyen SecureNetPro y Snort.
Clasificación de IDS 8-IDS de nodo de red (NNIDS): algunos IDS de red no son confiables a altas velocidades. Una vez cargados, descartan un alto porcentaje de paquetes de red y el cambio de red tiende a evitar que los ID de red vean paquetes mixtos. NNIDS delega las funciones de NIDS a una computadora host, aliviando así los problemas de conmutación y alta velocidad. Aunque los NNIDS y los cortafuegos personales tienen funciones similares, existen diferencias entre ellos. Para cortafuegos personales clasificados como NNIDS, se deben analizar los intentos de conexión. Por ejemplo, a diferencia de "intente conectarse al puerto xxx" en muchos firewalls personales, NNIDS analizará las características de cualquier sonda. Además, NNIDS envía los eventos recibidos por el host a la consola central. Los productos de NNIDS incluyen pequeños agentes negros y pequeños CMDS.
Clasificación IDS 9 - Firewall personal: Los firewalls personales se instalan en sistemas separados para proteger el sistema host evitando conexiones no deseadas, tanto entrantes como salientes. Tenga cuidado de no confundir esto con NNIDS.
Los cortafuegos personales son ZoneAlarm y Sybergen.
Clasificación IDS 10: IDS basado en objetivos: este es uno de esos términos vagos de IDS que significan cosas diferentes para diferentes personas. Una posible definición es un verificador de integridad de archivos, mientras que otra es un IDS de red, que solo busca firmas de ataques en aquellas redes que están protegidas por vulnerabilidades. El propósito de esta última definición es aumentar la velocidad del IDS ya que no busca ataques innecesarios. (Grupo de trabajo de detección de intrusiones)
El objetivo del Grupo de trabajo de detección de intrusiones es definir los formatos de datos y los pasos de procedimiento para el intercambio de información, lo que tiene implicaciones importantes para los sistemas de detección de intrusiones, los sistemas de respuesta y los sistemas de gestión que necesidad de interactuar con ellos. El Grupo de Trabajo de Detección de Intrusiones colabora con otras organizaciones del IETF. (Manejo de eventos)
Detectar intrusiones es solo el comienzo. En términos más generales, los operadores de consolas reciben alertas constantes. Dado que es imposible tomarse el tiempo para rastrear personalmente cada incidente potencial, los operadores marcarán los incidentes de interés para futuras investigaciones por parte del equipo de manejo de incidentes. Después de la respuesta inicial, llega el momento de abordar el incidente, es decir, la investigación, el debate, el procesamiento y otros asuntos. (Respuesta de evento)
La reacción inicial a eventos potenciales detectados, que luego deben manejarse de acuerdo con los controladores de eventos. (Isla)
El aislamiento es desconectarse completamente de Internet. Esto es casi un último recurso, no hay salida. Una organización sólo utilizaría este enfoque si hubiera un gran brote de virus o un ataque de seguridad muy obvio. (Modo promiscuo)
De forma predeterminada, la interfaz de red IDS solo puede ver información que entra y sale del host. Esto se llama modo no promiscuo. Si una interfaz de red está en modo promiscuo, puede ver todo el tráfico de red en el segmento de red independientemente de su origen o destino. Esto es necesario para el IDS de red, pero también lo pueden utilizar los rastreadores de paquetes para monitorear el tráfico de la red. Un centro de conmutación resolvería este problema y tendría muchos puertos en los que se vería el tráfico general.
Router (enrutador)
Un enrutador es un concentrador que se utiliza para conectar diferentes subredes. Trabajan en la capa de transporte y en la capa de red del modelo OSI de 7 capas. La función básica de un enrutador es transportar paquetes de red a su destino. Algunos enrutadores también tienen listas de control de acceso (ACL) que permiten filtrar paquetes no deseados. Muchos enrutadores pueden inyectar su información de registro en los sistemas IDS, proporcionando información valiosa sobre los intentos de acceso a la red bloqueados. (Escáner)
El escáner es una herramienta automatizada que escanea redes y hosts en busca de vulnerabilidades. Al igual que los sistemas de detección de intrusiones, se dividen en muchos tipos, como se explica a continuación.
Escáner tipo 1: Escáner de red: un escáner de red busca en la red todos los hosts de la red. Tradicionalmente, utilizan la tecnología de ping ICMP, pero este método es fácilmente detectable. Para volverse invisible, han surgido algunas tecnologías nuevas, como el escaneo de ack, el escaneo de aletas, etc. Otra ventaja de utilizar estos escáneres más sigilosos es que los distintos sistemas operativos reaccionarán de forma diferente a estos análisis, proporcionando a los atacantes información más valiosa. Un ejemplo de dicha herramienta es nmap.
Escáner tipo 2: Escáner de vulnerabilidades de red: Network Vulnerability Scanner lleva los escáneres de red un paso más allá al detectar hosts objetivo y resaltar todas las vulnerabilidades que podrían ser explotadas por piratas informáticos. Los atacantes y los expertos en seguridad pueden aprovechar los escáneres de vulnerabilidades de red, pero a menudo sobrecargan los sistemas IDS. Dichos productos incluyen Retina y CyberCop.
Escáner tipo 3: escáner de vulnerabilidades del host: este tipo de herramienta actúa como un usuario privilegiado, escanea el host desde el interior y verifica la seguridad de la contraseña, la política de seguridad y los permisos de archivos. Se pueden detectar los ID de red, especialmente los ID de host. Dichos productos incluyen SecurityExpressions, un escáner remoto de vulnerabilidades de Windows que puede corregir vulnerabilidades automáticamente. También hay un escáner de bases de datos ISS, que escanea las bases de datos en busca de vulnerabilidades. (Script Kiddie)
Algunas de las vulnerabilidades de seguridad de Internet más publicitadas, como el ataque de denegación de servicio de febrero de 2000 a Yahoo, se atribuyeron a estudiantes adolescentes de secundaria. Parece que el propósito de estas cosas malas es ganar fama. Los expertos en seguridad a menudo se refieren a estas personas como guionistas. Los script kiddies suelen ser piratas informáticos espontáneos y no cualificados que utilizan información, software o scripts descargados de Internet para comprometer sitios web específicos.
Estos niños del guión son vistos con desdén por los grupos de hackers o las autoridades encargadas de hacer cumplir la ley porque a menudo no tienen habilidades, tienen mucho tiempo para hacer daño y su objetivo generalmente es impresionar a sus amigos. Un guion infantil es como un niño con una pistola. No necesitan saber teoría balística ni ser capaces de construir un arma para ser un enemigo formidable. Por tanto, no debemos subestimar su fuerza. (Evitación)
La evasión se refiere a la configuración de dispositivos fronterizos para rechazar todos los paquetes de datos no deseados. Algunas elusiones incluso rechazan paquetes de datos de todas las direcciones IP en ciertos países. (Características)
El núcleo de IDS es la función de ataque, que permite que IDS se active cuando ocurre un evento. La información de funciones que es demasiado corta a menudo activará IDS, lo que resultará en falsas alarmas o falsas alarmas, mientras que la información de funciones que es demasiado larga ralentizará la velocidad de trabajo de IDS. Algunas personas utilizan la cantidad de funciones admitidas por un IDS como estándar para un IDS. Sin embargo, algunos proveedores usan una función para cubrir muchos ataques. Algunos proveedores enumeran estas funciones por separado, lo que dará a las personas la impresión de que un mejor IDS contiene más funciones. . Todo el mundo debe tener claro esto. (Ocultar)
Ocultar significa que al detectar un ataque, el IDS no es visible para el mundo exterior. Por lo general, se utilizan fuera de la DMZ y no están protegidos por firewalls. Tiene algunas desventajas como las respuestas automáticas.