1. Em que consiste um IDS: A detecção de intrusão tem as suas raízes nos sistemas de auditoria financeira às Mainframes. Os acessos tinham que ser cuidadosamente controlados, dessa forma foram criados mecanismos de segurança capazes de permitir aos administradores analisar logs em busca de anomalias que indicassem mau uso ou alterações aos ficheiros não autorizados. Este é o principio de detecção de intrusões, ou IDS (Intrusion Detection Systems). A ideia por detrás deste tipo de sistema é simples, um agente monitoriza actividade dos ficheiros num host ou no tráfego da rede e reporta as situações anómalas que possam ocorrer ao administrador. O mercado encontra-se dividido em duas vertentes: host-based e network-based. 1.1 Host-Based IDS Adicionam uma camada alvo de segurança a uma aplicação particularmente vulnerável ou a sistemas essenciais. Um agente monitoriza por exemplo um servidor de base de dados, audita e mantém um trilho, logs do sistema de situa