Um sistema de detecção de intrusão – IDS é um componente essencial em um ambiente cooperativo, pois possui a capacidade de detectar ataques e intrusões na proteção do ambiente. Dois tipos de IDS são descritos a seguir:

Faz o monitoramento do sistema, com base em informações de arquivos de logs ou de agentes de auditoria. É capaz de monitorar acessos e alterações em importantes arquivos do sistema, modificações nos privilégios dos usuários, processos do sistema, programas que estão sendo executados, uso de CPU, entre outros aspectos, como a detecção de port scanning.

Monitora o tráfego da rede, com a interface de rede operando em modo “promíscuo”. A detecção é realizada com a captura e análise dos cabeçalhos e conteúdos dos pacotes que são comparados com os padrões ou assinaturas conhecidos. Este tipo é bastante eficiente contra ataques como port scanning, IP spoofing ou SYN flooding.

Os tipos descritos em I e II são conhecidos, respectivamente, como Sistemas de Detecção de Intrusão baseado em