Existem dois tipos primários de IDS (Intrusion Detections Sy...

Já vi questões da CESPE alegando que os IDS's têm uma alta incidência de falsos positivos, alguém pode me explicar ?

creio que a questão queria a incorreta

A É capaz de detectar não só ataques, mas, também, as tentativas de ataque que não tiveram resultado. Se o ataque não chegou ao host o HIDS não tem essa característica.

B Gera poucos “falsos positivos”, ou seja, os administradores recebem poucos alarmes falsos de ataques. Gabarito

C Pode monitorar atividades suspeitas em portas conhecidas, como a porta TCP 80, que é utilizada pelo HTTP. Característica do NIDS.

D Com ele funcionando é difícil que um hacker possa apagar seus rastros caso consiga invadir um equipamento. Foge do escopo(seria um escopo local) de um IDS de HOST, mais adequada para um NIDS.

E Os ataques podem ser detectados e identificados em tempo real e o usuário pode determinar rapidamente o tipo de resposta apropriado. Essa característica de um sistema centralizado de "ações" tem mais haver com o NIDS.

genericamente todo IDS por apenas fazer a detecção ja gera muitos falsos positivos..essa Letra B eu descartei na hora por se tratar que a questao queria a correta...

Segundo Nakamura: "O HIDS pode verificar o sucesso ou FALHA de um ataque, com base nos registros (logs) do sistema".

Ou seja, além da Letra B, a Letra A está certa também.

Alguém mais concorda?