Primeros sistemas para la detección de ataques en tiempo real

El proyecto Instrusion Detection Expert System (IDES), desarrollado entre 1984 y 1986 por Dorothy Denning y Peter Neumann fue uno de los primeros sistemas de detección de intrusos en tiempo real. Este proyecto, financiado entre otros por la marina norteamericana, proponía una correspondencia entre actividad anómala y abuso o uso indebido (entendiendo por anómala aquella actividad extraña o inusual en un contexto estadístico). IDES utilizaba perfiles para describir los sujetos del sistema (principalmente usuarios), y reglas de actividad para definir las acciones que tenían lugar (eventos de sistema o ciclos de CPU). Estos elementos permitían establecer mediante métodos estadísticos las pautas de comportamiento necesarias para detectar posibles anomalías.IDES utilizaba perfiles para describir los sujetos del sistema (principalmente usuarios), y reglas de actividad para definir las acciones que tenían lugar (eventos de sistema o ciclos de CPU). Estos elementos permitían establecer mediante métodos estadísticos las pautas de comportamiento necesarias para detectar posibles anomalías. Un segundo sistema de detección de ataques en tiempo real que hay que destacar fue Discovery, capaz de detectar e impedir problemas de seguridad en bases de datos. La novedad del sistema radicaba en la monitorización de aplicaciones en lugar de analizar un sistema operativo al completo. Mediante la utilización de métodos estadísticos desarrollados en COBOL, Discovery podía detectar posibles abusos.
Otros sistemas fueron desarrollados para ayudar a oficiales norteamericanos a encontrar marcas de ataques internos en los ordenadores principales de sus bases aéreas. Estos ordenadores eran principalmente servidores corporativos que trabajaban con información no clasificada pero muy confidencial.
Uno de los últimos sistemas de esta época a destacar fue MIDAS (Multics Intrusion Detection and Alerting System), creado por la NCSC (National Computer Security Center). Este sistema de detección fue implementado para monitorizar el Dockmaster de la NCSC, en el que se ejecutaba uno de los sistemas operativos más seguros de la época*. De la misma manera que IDES, MIDAS utilizaba un sistema híbrido en el que se combinaba tanto la estadística de anomalías como las reglas de seguridad de un sistema experto. MIDAS utili-zaba un proceso de análisis progresivo compuesto por cuatro niveles de reglas. Además de estas reglas, también contaba con una base de datos que utilizaban para determinar signos de comportamiento atípico.

MIDAS fue uno de los primeros sistemas de detección de intrusiones conectados a
internet. Fue publicado en la red en 1989 y monitorizó el mainframe Dockmaster
en 1990, contribuyendo a fortalecer los mecanismos de autentificación de usuarios.