Existem dois tipos primários de IDS (Intrusion Detections Sy...

Gabarito comentado:

Alternativa correta: B - Gera poucos “falsos positivos”, ou seja, os administradores recebem poucos alarmes falsos de ataques.

Vamos entender melhor por que essa é a alternativa correta e analisar as demais alternativas para esclarecer eventuais dúvidas.

Sobre IDS (Intrusion Detection Systems):

IDS são sistemas que monitoram atividades em um sistema ou rede para identificar comportamentos suspeitos que possam indicar um ataque ou uma intrusão. Existem dois tipos principais de IDS:

• HIDS (Host-Based Intrusion Detection System): Monitora atividades em um host específico (ou seja, um único computador ou servidor).
• NIDS (Network-Based Intrusion Detection System): Monitora atividades em toda a rede, inspecionando o tráfego de rede.

Agora, vamos justificar a alternativa correta:

Alternativa B: Gera poucos “falsos positivos”, ou seja, os administradores recebem poucos alarmes falsos de ataques.

O HIDS geralmente gera menos falsos positivos porque ele analisa atividades específicas do sistema operacional do host, como logs de eventos, registros de auditoria e acessos a arquivos. Isso permite uma detecção mais precisa de atividades anômalas, resultando em menos alarmes falsos.

Vamos analisar as alternativas incorretas:

Alternativa A: É capaz de detectar não só ataques, mas, também, as tentativas de ataque que não tiveram resultado.

Esta característica é mais associada ao NIDS, que monitora todo o tráfego de rede e consegue identificar tanto os ataques bem-sucedidos quanto as tentativas de ataque.

Alternativa C: Pode monitorar atividades suspeitas em portas conhecidas, como a porta TCP 80, que é utilizada pelo HTTP.

O monitoramento de portas específicas é uma característica típica do NIDS, que inspeciona pacotes de dados em trânsito na rede.

Alternativa D: Com ele funcionando, é difícil que um hacker possa apagar seus rastros, caso consiga invadir um equipamento.

Embora o HIDS possa dificultar a ação de hackers para apagar rastros, esta não é uma característica distintiva. Os invasores ainda podem desativar ou alterar os registros do HIDS se conseguirem privilégios administrativos.

Alternativa E: Os ataques podem ser detectados e identificados em tempo real e o usuário pode determinar rapidamente o tipo de resposta apropriado.

Esta característica está mais associada ao NIDS, que é projetado para detectar e responder a ataques em tempo real, analisando o tráfego de rede.

Espero que esta explicação tenha ajudado a esclarecer o tema da questão. Caso tenha mais dúvidas ou precise de mais detalhes, estou à disposição!

Já vi questões da CESPE alegando que os IDS's têm uma alta incidência de falsos positivos, alguém pode me explicar ?

creio que a questão queria a incorreta

A É capaz de detectar não só ataques, mas, também, as tentativas de ataque que não tiveram resultado. Se o ataque não chegou ao host o HIDS não tem essa característica.

B Gera poucos “falsos positivos”, ou seja, os administradores recebem poucos alarmes falsos de ataques. Gabarito

C Pode monitorar atividades suspeitas em portas conhecidas, como a porta TCP 80, que é utilizada pelo HTTP. Característica do NIDS.

D Com ele funcionando é difícil que um hacker possa apagar seus rastros caso consiga invadir um equipamento. Foge do escopo(seria um escopo local) de um IDS de HOST, mais adequada para um NIDS.

E Os ataques podem ser detectados e identificados em tempo real e o usuário pode determinar rapidamente o tipo de resposta apropriado. Essa característica de um sistema centralizado de "ações" tem mais haver com o NIDS.

genericamente todo IDS por apenas fazer a detecção ja gera muitos falsos positivos..essa Letra B eu descartei na hora por se tratar que a questao queria a correta...

Segundo Nakamura: "O HIDS pode verificar o sucesso ou FALHA de um ataque, com base nos registros (logs) do sistema".

Ou seja, além da Letra B, a Letra A está certa também.

Alguém mais concorda?