Las redes de información pueden ser altamente susceptibles a ataques maliciosos de gusanos, virus y otras amenazas de red, con nuevos problemas que surgen regularmente en estos frentes. Dichos ataques pueden paralizar las redes, destruir datos importantes y afectar negativamente a la productividad. Para evitar que esto suceda, se configuran sistemas de detección de intrusos (IDS) para proteger las redes de información.
Un sistema de detección de intrusos actúa como una salvaguarda que detecta los ataques antes o cuando ocurren, alerta a la administración del sistema y luego toma las medidas apropiadas para deshabilitar los ataques, restaurando la red a su capacidad de trabajo normal. Por lo general, se requiere cierto grado de supervisión e investigación humana en los sistemas de detección de intrusos, ya que el IDS no es completamente infalible. Un sistema de detección de intrusiones puede, por ejemplo, no identificar algunas amenazas de red o, en casos de redes ocupadas, es posible que no pueda verificar todo el tráfico que pasa a través de la red.
En su operación diaria, el sistema de detección de intrusos monitorea la actividad del usuario y el tráfico en la red, y vigila las configuraciones del sistema y los archivos del sistema. Si se detectan anomalías o ataques, el sistema de detección de intrusos activa inmediatamente una alarma para informar al administrador del sistema sobre el asunto. Luego, el sistema puede proceder a lidiar con las amenazas de la red o dejar que el administrador decida la mejor manera de abordar el problema.
Hay tres tipos principales de sistemas de detección de intrusos que juntos forman un sistema de prevención de intrusiones. El primero es la detección de intrusiones en la red, que mantiene una biblioteca de amenazas de red conocidas. El sistema busca en Internet y actualiza constantemente esta biblioteca; de esta manera, el sistema se mantiene informado sobre las últimas amenazas de red y puede proteger mejor la red. El tráfico que pasa se monitorea y verifica con la biblioteca, y si algún ataque conocido o cualquier comportamiento anormal coincide con los de la biblioteca, el sistema se prepara para bloquearlo.
La detección de intrusiones en el nodo de la red es la segunda parte del sistema de prevención de intrusiones. Comprueba y analiza el tráfico que pasa de la red a un host específico. La tercera parte es el sistema de detección de intrusos del host, que comprueba si hay cambios en el sistema actual; Si se modifica o elimina algún archivo, el sistema de detección de intrusos del host hace sonar la alarma. Puede deshabilitar directamente el ataque o configurar un entorno de seguridad nuevo y mejorado.