Network-based Intrusion Detection System (NIDS) ist eine IDS-Technologie zur Erkennung von Eindringlingen in eine Kollisionsdomäne eines Netzwerks. Bei diesem Intrusion Detection System (IDS) werden alle Datenpakete der Kollisionsdomäne an einem zentralen Punkt oder direkt auf der Leitung abgegriffen und auf bekannte oder vermutete Angriffsmuster hin untersucht. NIDS-Systeme können die Datenpakete in Echtzeit analysieren, untersuchen jede aktive Verbindung und können auf diese Weise extrem schnell reagieren und auch DoS-Attacken erkennen, nur keine verschlüsselten Daten.

<< Anzeige >>

In einem NIDS-System überwachen Sniffer den Datenverkehr auf dem jeweiligen Netzsegment. Die Systeme arbeiten auf eigenen Appliances und analysieren die Datenpakete. In der Netzwerkadministration werden die aktuellen Ereignisinformationen angezeigt. Von dort aus werden auch die Parameter der Sniffer eingestellt. Da Sniffer in der Regel passiv arbeiten, sind sie für Hacker nicht zu erkennen. Tritt ein bestimmtes Verhaltensmuster oder eine Unregelmäßigkeit in den Datenpaketen auf, das einen Angriff darstellen könnte, wird eine Aktion ausgelöst. Das kann ein Alarm sein, eine E-Mail oder Gegenmaßnahmen.

Da die netzwerkbasierten IDS-Systeme nicht erkennen können gegen welches Zielsystem sich ein Angriff richtet, gibt es mit Network Node-Based Intrusion Detection (NNIDS) IDS-Systeme, die direkt auf den Zielsystemen installiert sind. Diese NNIDS-Systeme haben den Vorteil, dass sie nicht jedes Datenpaket untersuchen und fehlerhafte Angriffe erkennen. Sie sind allerdings für den Angreifer erkennbar, weil sie nicht im Promiscuous Mode, in dem der gesamte Datenverkehr erfasst wird, betrieben werden können. Alle im Empfangsmodus Promisuous Mode erfassten Datenpakete werden zur Verarbeitung an die Appliance weitergegeben, die sie analysiert, auswertet und bestimmte Bitmuster in einer Datenbank speichert.