La detección de intrusiones se ocupa de detectar intentos no autorizados de acceder a una red informática o un sistema informático físico. Su propósito es detectar cualquier amenaza que pueda permitir el acceso a información no autorizada, afectar negativamente la integridad de los datos o resultar en una pérdida de acceso dentro de una red. Por lo general, se implementa mediante el uso de un sistema de detección de intrusos (IDS) que detecta, registra y registra información diversa sobre otras personas que se conectan a la red o acceden a un host físico. Estos sistemas pueden variar desde soluciones de software que simplemente registran información de tráfico hasta sistemas físicos que involucran guardias de seguridad, cámaras y sensores de movimiento.
Hay tres tipos principales de detección de intrusiones, incluidos los métodos físicos, basados en host y basados en la red. Los métodos basados en red intentan señalar el tráfico de red sospechoso y, por lo general, utilizan programas que registran el tráfico y los paquetes que fluyen a través de una red. Los métodos basados en host buscan posibles intrusiones en un sistema informático físico y verifican la integridad de los archivos, identifican rootkits, monitorean las políticas de seguridad locales y analizan los registros. Los métodos físicos también se ocupan de identificar problemas de seguridad en dispositivos físicos y utilizan controles físicos, como personas, cámaras de seguridad, cortafuegos y sensores de movimiento. En muchas empresas con datos confidenciales y sistemas críticos, es deseable una combinación de estos métodos para lograr la mejor seguridad posible.
Los sistemas de detección de intrusiones no suelen evitar que se produzcan intrusiones; en cambio, simplemente registran los eventos que ocurren para que otros puedan recopilar y analizar la información. Aunque esto es especialmente cierto para los métodos de detección de intrusos basados en la red y en el host, es posible que esto no sea cierto para algunos métodos físicos, como los firewalls y el personal de seguridad. Los cortafuegos a menudo brindan la capacidad de bloquear el tráfico sospechoso y pueden saber qué está permitido y qué no. El personal de seguridad también puede evitar que las personas entren físicamente en una empresa o centro de datos, y las trampas monitoreadas y los sistemas de control de acceso son otros métodos físicos que pueden evitar que alguien entre.
Las limitaciones de los sistemas de detección de intrusos significan que muchas organizaciones también utilizan un sistema de prevención de intrusiones (IPS) para tomar medidas cuando se produce una actividad sospechosa. Muchos de estos sistemas incluyen las funciones de un sistema de detección de intrusos y proporcionan un sistema de seguridad más completo que es útil cuando es fundamental responder a las brechas de seguridad. Cuando el IPS detecta tráfico sospechoso o violaciones de políticas, toma la acción configurada en sus políticas. Los empleados de seguridad de la información o los administradores del sistema generalmente configuran las políticas que utiliza el IPS para responder a cada evento.