Intrusion Detection System (IDS) sind autarke Systeme, die Eindringlinge erkennen und Attacken auf IT-Systeme und Netze vermeiden. Diese IDS-Überwachungssysteme sollten nicht bekannt sein, keine Dienste anbieten, Angriffe protokollieren, Eindringlinge erkennen und nach Möglichkeit Gegenmaßnahmen einleiten. Alles was im Netzwerk anormal ist, sollte von dem IDS-System erkannt und protokolliert werden. Dazu benutzen IDS-Verfahren Sensoren resp. Sniffer, die anormalen Datenverkehr aufspüren und mit vorgegebenen Mustern vergleichen. Dabei unterscheidet man zwischen dem Erkennen von Missbrauch, dem Misuse Detection, und dem Aufspüren von Anomalien, dem Anomaly Detection.

<< Anzeige >>

Das Misuse Detection basiert auf dem Vergleich von Mustern oder Signaturen. Dazu werden die erfassten Muster mit anderen Mustern aus einer Datenbank verglichen, die vorwiegend von den Eindringlingen benutzt werden. Bei dieser Methode, dem sogenannten Pattern Matching, werden nur bereits bekannte Angriffsmuster erkannt. Neue Angriffe, von denen noch kein Muster vorliegt, bleiben unerkannt.

Beim Anomaly Detection wird hingegen jedes Verhaltensmuster, das sich außerhalb des normalen Datenverkehrs bewegt, als Angriff gewertet. Dadurch werden auch Abweichungen von bisherigen Angriffen erkannt. Eine Pflege der Angriffsmuster in einer Datenbank entfällt. Allerdings muss beim Anomaly Detection definiert werden, welches Muster zum normalen Datenverkehr gehört, wodurch sich die Schwelle für Fehlalarme erhöhen kann.

Die beiden Verfahren verdeutlichen die Entwicklung vom IDS-System hin zu Intrusion Prevention Systems (IPS), die bestimmte Datenpakete erst gar nicht passieren lassen.

Für die IDS-Technologie gibt es auch netzwerkbasierte Lösungen, Network-based Intrusion Detection (NIDS) und hostbasierte, Host-based Intrusion Detection (HIDS).