Sistema de Detecção de Intrusão (IDS)

Atualmente, nossa sociedade está cada dia mais dependente dos computadores e das redes de dados que os conectam. Isso acontece porque são nesses equipamentos que está contido o maior bem da sociedade atual: a informação.

Portanto, é muito importante manter os sistemas computacionais seguros, principalmente quando conectados a redes (como a Internet), de forma que as informações contidas neles se mantenham sempre íntegras, com um alto nível de confidencialidade e disponibilidade.

Assim, a segurança da informação nos sistemas computacionais atuais não pode mais depender apenas de sistemas antivírus ou de firewalls. São necessários sistemas mais complexos que analisem e interajam com a rede e seus elementos (hosts), visando a uma maior segurança da informação.

Nesse cenário, surgem os Sistemas de Detecção de Intrusão que fazem o monitoramento e alerta contra tentativas de ataques e intrusões.

Definição de IDS

Sistemas de Detecção de Intrusão ou IDS (Intrusion Detection System) são basicamente sistemas capazes de analisar o tráfego da rede ou conteúdo de computadores para identificar possíveis tentativas de ataques.

Ou seja, um IDS é uma ferramenta de segurança, implementada como software ou hardware, cujo objetivo principal é monitorar e analisar eventos que ocorrem em sistemas computacionais ou redes para identificar possíveis incidentes, violações de políticas de segurança ou atividades maliciosas.

Por definição literal, IDS tem uma função passiva. Ou seja, ao detectar uma ameaça potencial, o IDS apenas registra a informação e gera um alerta para o administrador, mas não toma medidas ativas para prevenir ou bloquear a atividade. Ele funciona, em essência, como um sistema de alarme para a infraestrutura digital.

Por exemplo, imagine um atacante tentando descobrir portas abertas em um servidor, enviando rapidamente dezenas de pedidos de conexão para portas diferentes (uma varredura de portas). Um IDS identificaria esse padrão incomum de tráfego, gerando um alerta — muitas tentativas de conexão de uma única origem para um único destino em um curto espaço de tempo e geraria um alerta para o administrador de rede, informando o IP do atacante e do alvo, mas não impediria a varredura de continuar.

Em resumo: um IDS monitora redes ou hosts e, se encontrar algo errado, deve gerar alertas; caso contrário, não deve fazer nada.

IPS

Diferente de um IDS, que atua como um observador passivo, um Sistema de Prevenção de Intrusão (IPS) assume uma postura ativa e interventiva na segurança da rede.

Para cumprir sua função, um IPS pode ser posicionado em um ponto estratégico que permite monitorar e atuar na rede ou em hosts. Essa posição estratégica é o que lhe confere o poder de não apenas identificar uma ameaça em tempo real, mas também de agir imediatamente para mitigá-la.

As ações de um IPS podem incluir:

• Descarte de pacotes maliciosos;
• Bloqueio de tráfego vindo de um endereço IP suspeito;
• Encerramento forçado de uma conexão que viole as políticas de segurança;
• Bloqueio de um usuário que errou muitas vezes a senha, dentre outras.

IDPS

O termo IDPS (Intrusion Detection and Prevention System) é usado para descrever a natureza híbrida dos sistemas modernos, que integram ambas as capacidades (IDS e IPS).

Um IDPS não só fornece os alertas detalhados de um IDS, mas também possui os mecanismos de bloqueio de um IPS.

Assim, uma possível diferença entre um IPS e um IDPS é que o IPS pode tomar ações sem um mecanismo de alerta, já um IDPS possui ambos mecanismos: alerta e ação pró-ativa para tentar sanar o problema detectado. Todavia no geral é bem comum usar o termo IPS ou IDPS de maneira indiscriminada.

Consequências da Ação Automática de IPS e IDPS

A principal desvantagem dos sistemas de prevenção de intrusões (IPS/IDPS) é o risco de bloquear tráfego legítimo automaticamente. Essa ação incorreta pode causar indisponibilidade de serviços e redes, o que torna a "solução" um problema tão grave quanto a ameaça original.

Por isso, a configuração e o ajuste fino desses sistemas são cruciais. A falta de confiança na automação é tão grande que alguns profissionais de segurança preferem usar apenas IDS, que apenas alertam sobre um problema, em vez de tomar qualquer ação automática.

É importante perceber que um IDS só detecta e alerta a respeito de problemas, se um IDS tomar alguma atitude além disso, ele é um IPS ou IDPS.

Todavia em nosso texto, assim como ocorre no dia a dia, as vezes vamos utilizar apenas o termo IDS quando na verdade estamos falando de um IPS ou IDPS.

Por que utilizar IDS?

Descobrir se um computador ou uma rede foi invadida é uma tarefa complexa e demorada para um ser humano realizar. Os responsáveis pela segurança da rede ou sistema podem não dar conta de fazer tudo, surgindo então a necessidade de utilizar IDS para essa função, ou seja de uma ferramenta que ajuda a automatizar o processo de monitoramento das informações de cibersegurança.

Assim, para detectar a invasão é necessário analisar a rede e verificar uma série de informações, como:

• Registros de log (registro de armazenamento de eventos);
• Processos não autorizados;
• Contas de usuários;
• Sistema de Arquivos alterados;
• Fluxos de rede;
• Conteúdos de pacotes de rede;
• Dentre outras.

Falso Negativo

É claro que IDS, IPS e IDPS possuem problemas, sendo que os principais são falsos negativos e falsos positivos.

Falsos negativos ocorrem quando um ataque real acontece e o sensor do IDS não gera nenhum alerta. Este é o pior cenário, pois o ataque passa despercebido.

As principais causas para falsos negativos são:

• Ataques desconhecidos (dia zero);
• Sobrecarga do sistema;
• Erros de configuração.

Falsos negativos são críticos, pois podem comprometer a segurança da rede e das informações. Para mitigar esse risco, é fundamental manter as assinaturas de ataques sempre atualizadas.

Falso positivo

Falsos positivos ocorrem quando o sensor do IDS gera um alerta erroneamente, ou seja, classifica uma atividade normal como um ataque. Quanto menos falsos positivos um IDS gerar, melhor.

Um excesso de alertas pode levar o administrador a pensar que o sistema está sob ataque constante, quando na verdade os alertas são falsos.

Geralmente, falsos positivos ocorrem devido a má configuração do IDS. Outro problema é que, com o tempo, o administrador pode passar a ignorar um ataque real, pensando ser apenas mais um alarme falso.

Comparado com o falso negativo, parece que o falso positivo não é tão ruim. Todavia ele pode tirar a credibilidade do sistema de segurança e com o administrador ignorando o IDS, ataques podem passar despercebidos.

Como funciona um IDS?

Um IDS normalmente é formado por um banco de dados no qual são armazenadas as assinaturas (códigos/regras) de ataques ou comportamentos. Isso é bem semelhante ao funcionamento de um antivírus, que contém as assinaturas dos vírus. Ou seja, existem estruturas de dados que, se encontradas em um fluxo de rede, por exemplo, identificarão que está ocorrendo um determinado ataque.

Tais assinaturas ou comportamento devem ser constantemente atualizados, assim como em um antivírus, para que nenhum código de ataque passe despercebido. Caso contrário, o sistema não identificará um ataque recém-criado (um ataque novo).

Se for detectada qualquer tentativa de ataque, o IDS deve gerar um alerta para o administrador do sistema. O alerta pode ser:

• E-mail;
• Arquivo de log;
• Emissão de um alerta sonoro;
• Ações automáticas para avisar sobre o ataque ou mesmo tomar uma atitude para tentar bloqueá-lo, variando desde a desativação de links da Internet até a ativação de rastreadores na tentativa de identificar o atacante.

Detecção de invasão baseada em assinaturas

Provavelmente a forma mais comum para o IDS detectar problemas é com o uso de assinaturas. Neste o IDS coleta dados de redes ou hosts e compara com um banco de dados de assinaturas de ataques conhecidas, que também são chamadas de regras (rules). Essas assinaturas são geralmente fornecidas pelo desenvolvedor do IDS, mas também podem ser criadas pelo administrador ou adquiridas de terceiros.

A detecção por assinatura geralmente gera um número menor de falsos positivos em comparação com outros métodos. Ela é rápida e específica na identificação de ataques conhecidos, mas se torna ineficaz contra ataques novos ou desconhecidos (ataques de dia zero).

Exemplo de assinatura

Uma assinatura é, essencialmente, um padrão (como uma sequência de bytes ou uma expressão regular) que representa um ataque específico. Quando o IDS encontra no tráfego um padrão que corresponde a uma assinatura, ele gera um alerta.

Um exemplo de assinatura é apresentado a seguir:

alert tcp any any -> $EXTERNAL_NET any 
(msg:"Possível exfiltração de arquivo /etc/shadow"; 
content:"root:"; content:"daemon:"; content:"bin:"; content:"adm:"; content:"lp:"; 
classtype:trojan-activity; sid:1000003; rev:1;)

Com essa assinatura o IDS procura se alguém na rede (tcp any any -> $EXTERNAL_NET any) está tentando pegar o arquivo de senha de sistemas Like-Unix, tal como o Linux.

O núcleo da assinatura (content:"root:"...) informa para procurar pacotes de rede que contenham como conteúdo as palavras root, daemon, bin, adm e lp, que são comuns neste tipo de arquivos com senha.

Assim, caso o IDS encontre pacotes de rede que cotenham esse conteúdo, ele deve gerar alertas.

Detecção de invasão baseada em comportamento/anomalia

Este método cria um perfil de comportamento "normal" da rede ou do sistema, chamado de linha de base (baseline). A partir desse perfil, o sistema identifica o que é uma atividade padrão. Qualquer desvio significativo dessa normalidade gera um alerta.

Este método é mais complexo de configurar, pois definir o que é "normal" em uma rede dinâmica pode ser um desafio.

A principal vantagem é sua capacidade de detectar ataques novos e desconhecidos, para os quais ainda não existem assinaturas.

Por outro lado, a principal desvantagem é a alta taxa de falsos positivos. Muitas atividades legítimas, mas incomuns, podem ser erroneamente classificadas como ataques.

Por exemplo, se o sistema aprende que um usuário só faz login durante o horário comercial, um acesso de madrugada, mesmo que legítimo, pode disparar um alerta de anomalia.

Exemplo de comportamento

Tipos de IDS

De uma forma geral, há dois tipos principais de IDS: HIDS e NIDS.

NIDS

O Sistema de Detecção de Intrusão de Rede, também chamado de NIDS (Network Intrusion Detection System), monitora o tráfego de uma rede inteira ou de um grupo de máquinas.

Os NIDS operam com a interface de rede em modo promíscuo, ou seja, todos os pacotes que circulam pelo segmento de rede são capturados pelo IDS, independentemente do seu destino. Os pacotes capturados são analisados um a um para determinar se contêm tráfego normal ou uma tentativa de ataque.

Os NIDS são geralmente compostos por dois componentes:

• Sensores - são dispositivos (hardware ou software) posicionados em segmentos estratégicos da rede para "farejar" e analisar o tráfego em busca de assinaturas que possam indicar um ataque.

• Estações de gerenciamento geralmente possuem uma interface gráfica e são responsáveis por receber os alarmes dos sensores, notificando o administrador da rede a respeito dos possíveis ataques detectados.

Vantagens dos NIDS:

• Um único sensor pode monitorar um segmento inteiro da rede, o que permite uma economia na implementação.
• Os NIDS não interferem no tráfego da rede, apenas analisam as informações que passam por ela (a não ser que forem IPS/IDPS).
• São "invisíveis" para os invasores, pois não geram respostas que possam indicar sua presença.

Desvantagens dos NIDS:

• Em redes com tráfego muito intenso, o IDS pode não ter poder computacional para monitorar todos os pacotes da rede, e um ataque pode passar despercebido.
• Podem ter dificuldades em redes com switches, pois o switch cria uma conexão direta entre a origem e o destino, impedindo que o sensor capture todos os pacotes (a menos que se use uma porta espelhada/SPAN).
• Não conseguem inspecionar o conteúdo de dados criptografados.
• Alguns NIDS têm dificuldade em remontar pacotes fragmentados.
• Podem não conseguir informar se um ataque foi bem-sucedido, pois essa informação é consolidada localmente no host alvo.

HIDS

Os Sistemas de Detecção de Intrusão baseados em Host, ou HIDS (Host Intrusion Detection System), foram os primeiros tipos de IDS a surgir. Seu objetivo é monitorar atividades que ocorrem em um determinado host. O HIDS captura somente o tráfego destinado ao host onde está instalado (e não o de toda a rede), não gerando, assim, muita carga para a CPU.

Os HIDS podem atuar em diversas áreas dentro de um mesmo host, como por exemplo, análise de sistema de arquivos, monitoramento da atividade da rede destinada ao host, monitoramento de atividades de login, entre outras.

Vantagens dos HIDS:

• Funcionam com tráfego criptografado, pois analisam os dados no host, antes da criptografia (na saída) ou após a descriptografia (na entrada).
• Conseguem monitorar eventos locais, como alterações em arquivos de sistema.
• Não têm problemas com switches, pois analisam o tráfego diretamente no host.
• Detectam cavalos de Troia e outros ataques que comprometem a integridade do software.

Desvantagens dos HIDS:

• Dificuldade em gerenciar múltiplos HIDS em uma grande rede.
• Se um invasor comprometer o host, ele pode também desabilitar o HIDS.
• Não detectam varreduras de portas (port scans) ou outras atividades de reconhecimento que visam a rede como um todo, pois analisam apenas o tráfego direcionado ao seu host.
• O armazenamento de logs pode exigir um espaço em disco considerável.

WIDS

Enquanto o NIDS monitora o tráfego em redes cabeadas, o WIDS (Wireless Intrusion Detection System) é projetado para escanear e proteger o ambiente de redes sem fio tal como WiFi. Ele funciona como um "guarda de segurança" no ar, monitorando as frequências de rádio em busca de atividades maliciosas.

Um WIDS pode detectar uma variedade de ataques e ameaças, como:

• Pontos de Acesso Não Autorizados (Rogue APs): Dispositivos WiFi não sancionados que podem estar conectados à sua rede.

• Evil Twins: Pontos de acesso falsos criados por um invasor para se passarem pela sua rede legítima e roubar dados.

• Ataques de Desautenticação: Tentativas de desconectar usuários da rede WiFi.

• Ataques de Força Bruta: Tentativas de adivinhar a senha da sua rede.

É possível classificar o WIDS como um tipo de NIDS, mas ele possui tarefas diretamente relacionadas com a segurança de redes sem fio.

IDS distribuído

Os Sistemas de Detecção de Intrusão Distribuídos (DIDS - Distributed Intrusion Detection Systems), operam em uma arquitetura de gerenciamento centralizado. Este tipo de sistema utiliza múltiplos sensores, localizados em pontos distintos da rede, que se reportam a uma estação central de gerenciamento.

Esses sensores podem atuar como NIDS (em modo promíscuo) ou como HIDS (instalados em hosts), ou uma combinação de ambos.

Os sensores enviam as informações coletadas para a estação central, onde os logs de ataques são processados e armazenados em um banco de dados.

Uma das vantagens do DIDS é a capacidade de personalizar as regras e atualizar as assinaturas de ataque em cada sensor individualmente, a partir do gerenciador central.

A principal desvantagem é que a comunicação entre os sensores e a estação central precisa ser protegida com segurança adicional, como criptografia, VPN ou uma rede privada, para não se tornar um novo ponto de vulnerabilidade.

O ponto crucial é que a arquitetura distribuída do DIDS oferece uma visão centralizada de toda a segurança da rede. Em vez de ter que monitorar cada sensor NIDS e HIDS individualmente, o administrador pode ver, de um único painel de controle, o status de todos os sensores e correlacionar os eventos de segurança. Isso não apenas facilita o gerenciamento e a resposta a incidentes, mas também permite identificar ataques que se movem lateralmente entre diferentes hosts e segmentos da rede.

SIEM

O SIEM (System EventSecurity Information and Event Management) é uma plataforma de software usada em cibersegurança que coleta, armazena, normaliza, correlaciona e analisa eventos e logs de diferentes dispositivos, sistemas e aplicações.

Funções principais do SIEM:

• Coleta centralizada de logs (firewalls, IDS/IPS, antivírus, servidores, aplicações etc).
• Normalização e correlação de eventos (padroniza os dados e encontra padrões de ataque).
• Detecção de anomalias (alerta sobre atividades incomuns).
• Dashboards e relatórios para análise de segurança e conformidade (ex.: LGPD, ISO 27001).
• Automação de respostas (alguns SIEMs modernos já integram SOAR – Security Orchestration, Automation and Response).

Neste contexto, o IDS é uma das fontes de dados/alertas sobre cibersegurança, enquanto o SIEM é o sistema que centraliza e correlaciona os eventos de múltiplas fontes (incluindo o IDS). Note que um SIEM não é um DIDS; ele é um sistema de gestão de eventos de segurança, ou seja, é mais abrangente que um DIDS, pois serve como uma plataforma de inteligência e visibilidade para a tomada de decisões de segurança. Por fim, um SIEM pode usar informações de um DIDS.

SOC

Um SOC (Security Operations Center) é uma estrutura organizacional dedicada à monitorização contínua, análise e resposta a incidentes de segurança da informação em uma instituição.

Ele funciona como uma “sala de controle de segurança”, onde uma equipe especializada acompanha, em tempo real, eventos de rede, logs de sistemas, alertas de ferramentas de segurança e potenciais ameaças.

Principais funções de um SOC:

• Monitoramento 24/7 de sistemas, redes e aplicações.
• Análise de alertas de ferramentas de detecção (ex.: antivírus, firewalls, IDS/IPS).
• Resposta a incidentes (containment, erradicação, recuperação).
• Correlação de eventos para identificar padrões de ataque.
• Geração de relatórios de conformidade e auditoria.

Relação entre SOC e IDS

• O IDS (Intrusion Detection System) é uma ferramenta que detecta atividades suspeitas ou maliciosas (ex.: tentativas de intrusão, tráfego anômalo, exploração de vulnerabilidades).

• O SOC é a equipe/processo que recebe os alertas gerados pelo IDS e decide o que fazer com eles.

Em outras palavras, o IDS atua como um sensor que detecta eventos e gera alertas. O SOC atua como o cérebro e os olhos, analisando os alertas, correlacionando-os com outras fontes (SIEM, firewall, logs) e respondendo aos incidentes.

Exemplo prático:

• Um IDS detecta uma varredura de portas em um servidor.
• Esse alerta é enviado ao SOC.
• O SOC valida se é um ataque real, verifica se há impacto e, se necessário, bloqueia o IP no firewall e abre um incidente para investigação.

Ilustração do exemplo do SOC

Resumo do ecossistema de Detecção e Prevenção

Sistemas de Detecção e Prevenção

• IDS:

  • HIDS: Monitora um único host.
  • NIDS: Monitora o tráfego em um segmento da rede.
  • WIDS: Focado em redes sem fio.
  • DIDS: Correlaciona alertas de múltiplos sensores (HIDS e NIDS).

• IPS: Detecta intrusões e as bloqueia pró-ativamente.

• IDPS: Termo geral para sistemas que combinam as funções de detecção e prevenção.

Gerenciamento e Operação

• SIEM (Security Information and Event Management): Plataforma que coleta, agrega e analisa dados de segurança de diversas fontes (incluindo IDS).

• SOC (Security Operations Center): A equipe de segurança que usa o SIEM para monitorar, investigar e responder a incidentes em tempo real.

Exemplos de tecnologias que implementam IDS, IPS e SIEM

NIDS: Snort

• Descrição: É o NIDS open-source mais famoso e um dos pioneiros. Atua como um "packet sniffer" que analisa o tráfego em tempo real e o compara com um conjunto de regras para identificar ameaças. Foi adquirido pela Cisco, que continua a desenvolvê-lo.
• Plataforma: Linux, FreeBSD, NetBSD, OpenBSD, Windows, macOS.
• Licença: GNU General Public License (GPL) v2. As regras oficiais (Talos) têm um modelo de assinatura para acesso imediato.
• Sítio Oficial: https://www.snort.org/
• Principais Características:
  • Leve e rápido.
  • Detecção baseada em assinaturas (regras).
  • Pode ser usado como IDS, IPS (Intrusion Prevention System) ou sniffer.
  • Comunidade vasta e grande quantidade de documentação.

NIDS: Suricata

• Descrição: Um motor de detecção de ameaças de rede moderno, de alto desempenho e de código aberto. Foi desenvolvido para ser um sucessor do Snort, com foco em escalabilidade e performance.
• Plataforma: Linux, FreeBSD, OpenBSD, Windows, macOS.
• Licença: GNU General Public License (GPL) v2.
• Sítio Oficial: https://suricata.io/
• Principais Características:
  • Multi-threading: Utiliza múltiplos núcleos de CPU para processar o tráfego, oferecendo altíssimo desempenho.
  • Detecção automática de protocolos (HTTP, DNS, TLS, etc.).
  • Suporte para scripting com Lua para detecções complexas.
  • Compatível com regras VRT (Snort).
  • Capacidade de extrair arquivos de fluxos de rede.

NIDS: Zeek (anteriormente Bro)

• Descrição: Mais do que um NIDS tradicional, Zeek é um framework de análise de rede. Ele não se limita a gerar alertas; ele observa o tráfego e cria logs transacionais extremamente detalhados de tudo o que acontece (ex: http.log, dns.log, ssl.log).
• Plataforma: Linux, FreeBSD, macOS.
• Licença: Licença BSD (Open Source).
• Sítio Oficial: https://zeek.org/
• Principais Características:
  • Análise profunda de dezenas de protocolos.
  • Gera logs ricos em contexto, ideais para forense e threat hunting.
  • Altamente flexível e extensível através da sua própria linguagem de script.
  • Opera em larga escala, sendo usado em grandes universidades, centros de pesquisa e empresas.

HIDS: OSSEC

• Descrição: O projeto HIDS open-source original, amplamente respeitado e utilizado como base para muitas outras ferramentas (incluindo o Wazuh). É focado em análise de logs, monitoramento de integridade, detecção de rootkits e resposta ativa.
• Plataforma: Linux, Windows, macOS, Solaris, AIX, HP-UX, etc.
• Licença: GNU General Public License (GPL) v2.
• Sítio Oficial: https://www.ossec.net/
• Principais Características:
  • Motor de correlação e análise de logs poderoso.
  • Excelente para monitoramento de integridade de arquivos (FIM).
  • Detecção de rootkits.
  • Configuração via arquivos de texto, ideal para automação.
  • Leve e com baixo consumo de recursos nos agentes.

HIDS: Wazuh

• Descrição: Uma plataforma de segurança unificada, gratuita e de código aberto, que evoluiu a partir de um fork do OSSEC. Integra funcionalidades de HIDS, SIEM e XDR. É conhecido por sua excelente integração com o Elastic Stack (Kibana) para visualização.
• Plataforma: Servidor em Linux. Agentes para Linux, Windows, macOS, Solaris, AIX, HP-UX.
• Licença: Apache License 2.0.
• Sítio Oficial: https://wazuh.com/
• Principais Características:
  • Monitoramento de Integridade de Arquivos (FIM).
  • Detecção de vulnerabilidades e avaliação de configurações de segurança.
  • Coleta e análise de logs de múltiplos sistemas.
  • Capacidade de resposta ativa (bloquear IPs, parar processos, etc.).
  • Dashboard completo e interativo baseado no Kibana.

SIEM: Elastic Security

• Descrição: Uma solução de segurança construída sobre o Elastic Stack (Elasticsearch, Kibana, Beats, Logstash). Combina a funcionalidade de SIEM com a de Segurança de Endpoint (EPP/EDR) em uma única plataforma. É extremamente poderosa para buscar, analisar e visualizar grandes volumes de dados em tempo real.
• Plataforma: Servidor pode ser hospedado na nuvem (Elastic Cloud) ou on-premises (Linux, Docker, Kubernetes). Agentes (Beats, Elastic Agent) são compatíveis com praticamente todos os sistemas operacionais.
• Licença: Modelo dual. O nível "Basic" é gratuito e muito poderoso. Níveis pagos (Standard, Platinum, Enterprise) adicionam funcionalidades avançadas.
• Sítio Oficial: https://www.elastic.co/security
• Principais Características:
  • Ingestão e análise de dados em petabytes.
  • Dashboards interativos e totalmente customizáveis no Kibana.
  • Motor de detecção com centenas de regras prontas (alinhadas com o framework MITRE ATT&CK).
  • Uso de Machine Learning para detectar anomalias.
  • Integração nativa com agentes que fornecem prevenção de malware e ransomware.

Referências Bibliográficas

KUROSE, J. F.; ROSS, K. W. Redes de Computadores e a Internet: Uma Abordagem Top-Down. 8. ed. São Paulo: Pearson, 2021.

STALLINGS, W.; BROWN, L. Segurança de Computadores: Princípios e Práticas. 4. ed. São Paulo: Pearson, 2019.

SCARFONE, K.; MELL, P. Guide to Intrusion Detection and Prevention Systems (IDPS). NIST Special Publication 800-94, 2007. Disponível em: https://csrc.nist.gov/publications/detail/sp/800-94/final. Acesso em: 26 out. 2024.

SANS INSTITUTE. SANS Information Security Reading Room. SANS Institute, 2024. Disponível em: https://www.sans.org/reading-room/. Acesso em: 26 out. 2024.

Referências Bibliográficas

SNORT. Snort. Snort, 2025. Disponível em: https://www.snort.org/. Acesso em: 13 set. 2025.

ELASTIC. Elastic Security. Elastic, 2025. Disponível em: https://www.elastic.co/security. Acesso em: 13 set. 2025.

SURICATA. Suricata. OISF, 2025. Disponível em: https://suricata.io/. Acesso em: 13 set. 2025.

OSSEC FOUNDATION. OSSEC. OSSEC, 2025. Disponível em: https://www.ossec.net/. Acesso em: 13 set. 2025.

WAZUH. The Unified XDR and SIEM Platform. Wazuh, 2025. Disponível em: https://wazuh.com/. Acesso em: 13 set. 2025.

ZEEK. The Zeek Project. Zeek, 2025. Disponível em: https://zeek.org/. Acesso em: 13 set. 2025.