Dispositivo en hardware para controlar el tráfico entrante y saliente a una red
privada, analizando comportamientos en base a la información provista por los Sensores que se instalan en la red y en los servers.
Opera en modalidad de ?escucha? sin interferir en la entrada o salida del tráfico. Es responsable de la colección de datos de sus
sensores, e informa la existencia de actividad maliciosa en la red y en los servers
Funciones:
Sensor para monitorear tráfico TCP
Log de incidentes monitoreados
Verificación de integridad de archivos
Determinación de patrones de ataque
Colección de eventos
Correlación de eventos
Si es un IDS de redes, se llaman NIDS (network intrusion detection systems) y si es de servers se llaman HIDS (host intrusion
detection systems)
Detectan ataques a nivel aplicación (capa 7) aunque el ataque venga fragmentado o
encapsulado.