Host-based intrusion detection system , la enciclopedia libre
HIDS es también conocido como Sistema de detección de intrusos en un Host. Busca detectar anomalías que indican un riesgo potencial, revisando las actividades en la máquina (host). Puede tomar medidas protectoras.
Las funciones de este tipo de software son muy similares a las de los IDS. Configuraciones típicas permiten varios HIDS repartidos por la red que envían sus resultados a un servidor centralizado que los analizará en busca de los riesgos y alertas antes mencionados.
Este fue el primer tipo de software de detección de intrusos que se diseñó, siendo el objetivo original el Mainframe, donde la interacción exterior era infrecuente.[1]
En comparación con los sistemas de detección de intrusiones basados en red, HIDS tiene la ventaja de su capacidad de identificar ataques internos. Mientras NIDS examina los datos del tráfico de la red, HIDS examina los datos que se originan en los sistemas operativos. En los últimos años, HIDS se ha enfrentado al desafío del big data, que puede atribuirse al mayor avance de las instalaciones y metodologías de los centros de datos.[2]Una desventaja de usar HIDS es que debe instalarse en todas y cada una de las computadoras que necesitan protección contra intrusiones. Esto puede provocar una ralentización del rendimiento del dispositivo y de los sistemas de detección de intrusos.[3]
Protección de los HIDS
[editar]Los HIDS generalmente hacen todo lo posible para evitar que las bases de datos de objetos, de checksum y sus reportes sufran cualquier forma de manipulación. Después de todo, si los intrusos lograran modificar cualquiera de los objetos que los HIDS monitorean, nada podría detener a los intrusos de la modificación de este tipo a los propios HIDS - a menos que los administradores de seguridad tomen las precauciones adecuadas. Muchos gusanos y virus a tratar de desactivar las herramientas antivirus, por ejemplo.
Aparte de las cripto-técnicas, los HIDS podrían permitir a los administradores almacenar las bases de datos en un CD-ROM o en otras dispositivos de memoria de solo lectura (otro factor de lucha para las actualizaciones poco frecuentes ...) o almacenarlos en una memoria fuera del sistema. Del mismo modo, un HIDS frecuentemente envía sus registros (logs) fuera del sistema de inmediato - por lo general utilizando canales VPN a algún sistema de gestión central.
Se podría argumentar que el módulo de plataforma de confianza es un tipo de HIDS. A pesar de su alcance difiere en muchos aspectos a la de un HIDS, fundamentalmente, proporciona un medio para identificar si hay algo/alguien que ha manipulado una porción de un ordenador. Arquitectónicamente este proporciona la máxima (por lo menos hasta ahora) detección de intrusiones basado en host, ya que depende de un hardware externo a la CPU en sí, por lo tanto por lo que es mucho más difícil para un intruso corromper a sus bases de datos de objetos y de checksums.
Recepción
[editar]InfoWorld opina que el software HIDS es una forma útil para administradores de red de encontrar malware, sugiriendo que debería usarse en todos los servidores, no solo en los servidores críticos.[4]
Véase también
[editar]- NIDS (Network Intrusion Detection System)
- Tripwire
- Privacidad
Referencias
[editar]- ↑ Debar, Hervé; Dacier, Marc; Wespi, Andreas (April, 23 1999). «Towards a taxonomy of intrusion-detection systems». Computer Networks 31 (8): 805-822. doi:10.1016/S1389-1286(98)00017-6.
- ↑ Liu, Ming; Xue, Zhi; Xu, Xianghua; Zhong, Changmin; Chen, Jinjun (19 de noviembre de 2018). «Host-Based Intrusion Detection System with System Calls: Review and Future Trends». ACM Computing Surveys 51 (5): 98:1-98:36. ISSN 0360-0300. doi:10.1145/3214304. Consultado el 17 de noviembre de 2023.
- ↑ Ahmad, Zeeshan; Shahid Khan, Adnan; Wai Shiang, Cheah; Abdullah, Johari; Ahmad, Farhan (2021-01). «Network intrusion detection system: A systematic study of machine learning and deep learning approaches». Transactions on Emerging Telecommunications Technologies (en inglés) 32 (1). ISSN 2161-3915. doi:10.1002/ett.4150. Consultado el 27 de marzo de 2024.
- ↑ Marsan, Carolyn Duffy (6 de julio de 2009), «The 10 dumbest mistakes network managers make», InfoWorld (IDG Network), consultado el 31 de julio de 2011.
Enlaces externos
[editar]Lista de HIDS comerciales, Mosaic Security Research (en inglés)