4. Sistemas de detección de intrusos (IDS)
IDS orientado a red (NIDS) - Operación general

Un NIDS escucha constantemente la red en modo promiscuo, en sistemas Unix casi siempre a través de la interfaz de libpcap.
Hay quien sugiere el uso de un NIDS por host, para mitigar el efecto de la segmentación que hacen los switches. Yo no juzgo que -para la generalidad de los casos- sean una buena idea - Tiene lo peor de ambos mundos
Aplica un primer filtrado para descartar el tráfico que no le interese (hosts/puertos no vigilados)
Analiza el flujo de datos buscando patrones sospechosos
Basado en firmas
Compara el tráfico entrante contra patrones conocidos
Ágil, extensible, confiable
Pocos falsos postivos/negativos
Basado en análisis de anomalías
Genera un patrón de tráfico no hostil, emplea algún mecanismo para buscar tráfico que no concuerde con este patrón
Tan impredecible como puede ser hoy en día la inteligencia artificial - Una regla errada puede dar al traste con toda nuestra demás configuración
Aprender patrones hostiles por error lleva a consecuencias nefastas
Promete protegernos aún de ataques desconocidos