Las redes de información pueden ser altamente susceptibles a ataques maliciosos de gusanos, virus y otras amenazas de red, con nuevos problemas regulares que surgen en estos frentes. Tales ataques pueden paralizar las redes, destruir datos importantes y afectar negativamente la productividad. Para evitar que esto suceda, se configuran sistemas de detección de intrusos (IDS) para proteger las redes de información.

Un sistema de detección de intrusos actúa como una protección que detecta los ataques antes o cuando ocurren, alerta a la administración del sistema y luego toma las medidas adecuadas para deshabilitar los ataques, restaurando la red a su capacidad de trabajo normal. Por lo general, se requiere un cierto grado de supervisión e investigación humana en los sistemas de detección de intrusos, ya que el IDS no es completamente infalible. Un sistema de detección de intrusos puede, por ejemplo, no identificar algunas amenazas de red o, en casos de redes ocupadas, puede no ser capaz de verificar todo el tráfico que pasa a través de la red.

En su funcionamiento diario, el sistema de detección de intrusos monitorea la actividad del usuario y el tráfico en la red, y vigila las configuraciones del sistema y los archivos del sistema. Si se detectan anormalidades o ataques, el sistema de detección de intrusos establece inmediatamente una alarma para llamar la atención del administrador del sistema. El sistema puede entonces tratar las amenazas de la red o dejar que el administrador decida cuál es la mejor manera de abordar el problema.

Existen tres tipos principales de sistemas de detección de intrusos que, en conjunto, forman un sistema de prevención de intrusos. El primero es la detección de intrusos en la red, que mantiene una biblioteca de amenazas de red conocidas. El sistema verifica en Internet y actualiza constantemente esta biblioteca; De esta manera, el sistema se mantiene informado sobre las últimas amenazas de red y puede proteger mejor la red. El tráfico que pasa se monitorea y verifica con la biblioteca, y si algún ataque conocido o algún comportamiento anormal coincide con los de la biblioteca, el sistema se prepara para bloquearlo.

La detección de intrusiones del nodo de red es la segunda parte del sistema de prevención de intrusiones. Comprueba y analiza el tráfico que pasa de la red a un host específico. La tercera parte es el sistema de detección de intrusos del host, que verifica cualquier cambio en el sistema actual; Si se modifica o elimina algún archivo, el sistema de detección de intrusos del host hace sonar la alarma. Puede deshabilitar directamente el ataque o configurar un nuevo entorno de seguridad mejorado.