Existen sistemas que identifican y registran actividades que indican el mal uso de personal no autorizado y ataques maliciosos que proviene de terceras personas externas y/o internas de una determinada red. Estos sistemas, llamados de detección/protección de intrusos, dan una protección activa para controlar amenazas y completa supervisión de las redes y servidores. Para lograr la integridad y seguridad estos sistemas disponen de tres elementos básicos para su buen funcionamiento [33]:
- Los sensores, encargados de recolectar la información de las redes.
- Los analizadores, determinan si una intrusión puede ocurrir, está en curso u ocurrió.
- La interfaz del usuario, donde se controla el comportamiento de todo sistema.
Tipos de análisis para la detección de intrusos:
- Los análisis basados en eventos o firmas son los más comunes y es equivalente al funcionamiento de los antivirus.
- El análisis estadístico constituye un modelo del ambiente y busca desviaciones de lo normal.
- Los sistemas adaptables comienzan con reglas generales del ambiente y luego van a prendiendo o adaptándose a las condiciones normales. Después de un tiempo conocen las actividades normales y sólo advierten al administrador cuando algo se desvía de lo normal.
Los sistemas de detección/protección de intrusos presentan algunos fallos como son: la posibilidad de perder información; perder patrones de ataques y señalar alarmas cuando en realidad no hay nada fuera de lo normal. Por estas razones, es muy importante que las empresas cuenten con recursos humanos especialmente dedicados en la interacción con los sistemas de detección/protección de intrusos.