Home 01 - Conceitos 01 - Redes 12 - Seguranca de Redes 02 - Mecanismos de Defesa 02 - Detecção e Prevenção

O IDS (Sistema de Detecção de Intrusão) é descrito pelas fontes como uma ferramenta essencial na estratégia de segurança em profundidade, atuando como um mecanismo de monitoramento passivo projetado para identificar atividades maliciosas ou suspeitas que possam comprometer a integridade, confidencialidade e disponibilidade de uma rede.

Abaixo, detalho como o IDS se insere no contexto mais amplo de detecção e prevenção:

1. Postura Passiva vs. Ativa (IDS vs. IPS)

A principal distinção entre os sistemas reside na forma de resposta:

  • IDS (Detecção): Funciona em modo passivo. Ele automatiza o processo de detecção, monitorando o tráfego ou as atividades do sistema, registrando violações em arquivos de log e disparando alertas para o administrador, mas não toma ações automáticas para interromper o ataque.
  • IPS (Prevenção): É a parte ativa. Ele recebe os alertas do IDS e tem a capacidade de impedir ou bloquear incidentes, como encerrar sessões de usuários ou reprogramar o firewall em tempo real.

2. Classificação quanto ao Posicionamento

As fontes classificam os IDS em duas categorias principais, que podem ser combinadas em sistemas híbridos:

  • HIDS (Baseado em Host): Instalado em máquinas específicas (servidores críticos), foca na análise de acessos a arquivos, alterações de privilégios e logs do sistema operacional. Uma vantagem crucial do HIDS é a capacidade de inspecionar tráfego criptografado, pois ele analisa os dados após a descriptografia pelo host.
  • NIDS (Baseado em Rede): Analisa o fluxo de dados em pontos estratégicos da rede (como DMZs ou antes/depois de firewalls), buscando padrões de tráfego suspeitos. No entanto, o NIDS é incapaz de analisar tráfego criptografado (como VPNs) e pode sofrer quedas de desempenho em redes com alto volume de dados.

3. Metodologias de Detecção

Para identificar uma intrusão, o IDS utiliza diferentes abordagens técnicas:

  • Detecção por Assinatura: Compara o tráfego com um banco de dados de ataques conhecidos. É eficaz contra ameaças já catalogadas, mas inútil contra ataques inéditos (zero-day).
  • Detecção por Anomalia: Utiliza inteligência computacional para aprender o comportamento normal da rede. Qualquer variação significativa fora desse perfil é marcada como anomalia. Embora detecte ataques novos, o desafio é definir o que é “normal”, correndo o risco de gerar muitos falsos positivos.
  • Baseada em Especificação: Um método híbrido que utiliza regras pré-configuradas sobre o funcionamento esperado do sistema para reduzir alertas falsos.

4. Desafios e Evolução

O uso de IDS enfrenta desafios constantes, como a ocorrência de falsos positivos (eventos legítimos marcados como ataques) e falsos negativos (ataques reais ignorados pelo sistema).

Historicamente, o conceito surgiu na década de 80 com projetos como o IDES (Intrusion Detection Expert System), que serviu de base para sistemas modernos. Hoje, ferramentas avançadas como o IDS Suricata oferecem alta escalabilidade através de mecanismos multithread, permitindo a análise de tráfego de até 10 Gigabit e a identificação automática de protocolos na camada de aplicação.