Un Sistema de Detección de Intrusos (IDS) es una herramienta o software diseñado para detectar actividades sospechosas o maliciosas dentro de una red o sistema informático. Los IDS pueden ser basados en red (NIDS) o en host (HIDS), y funcionan mediante el análisis del tráfico de red o de los registros del sistema para identificar violaciones de políticas de seguridad o ataques conocidos.
Utiliza firmas de ataques conocidos, anomalías en el comportamiento del tráfico o del sistema, y políticas de seguridad definidas para identificar actividades que difieren de lo normal.
Mientras que un IDS detecta y alerta sobre actividades potencialmente maliciosas, un IPS puede actuar automáticamente para bloquear o prevenir esas actividades.
No, los IDS pueden generar falsos positivos (alertas injustificadas) y falsos negativos (falta de detección de ataques reales), por lo que requieren una configuración cuidadosa y revisión regular.
