IDS (intrusion detection system)

Intrusion Detection System (IDS) sind autarke Systeme, die Eindringlinge erkennen und Attacken auf IT-Systeme und Netze vermeiden. IDS-Überwachungssysteme sollten nicht bekannt sein, keine Dienste anbieten, Angriffe protokollieren, Eindringlinge erkennen und nach Möglichkeit Gegenmaßnahmen einleiten. Alles was im Netzwerk anormal ist, sollte von dem IDS-System erkannt und protokolliert werden.


Dazu benutzen IDS-Verfahren Sensoren resp. Sniffer, die anormalen Datenverkehr aufspüren und mit vorgegebenen Mustern vergleichen. Dabei unterscheidet man zwischen dem Erkennen von Missbrauch, dem Misuse Detection, und dem Aufspüren von Anomalien, dem Anomaly Detection.

Das Misuse Detection oder Signature Based IDS basiert auf dem Vergleich von Mustern oder Signaturen. Bei dem Verfahren wird aus dem Content jedes einzelnen Datenpakets der Anwendungsschicht eine Signatur abgeleitet, die mit den vorliegenden Signaturen verglichen wird. Bei dieser Methode, dem Pattern Matching, werden nur bereits bekannte Angriffsmuster erkannt. Neue Angriffe, von denen noch kein Muster vorliegt, bleiben unerkannt.

Beim Anomaly Detection wird hingegen jedes Verhaltensmuster, das sich außerhalb des normalen Datenverkehrs bewegt, als Angriff gewertet. Dadurch werden auch Abweichungen von bisherigen Angriffen erkannt. Eine Pflege der Angriffsmuster in einer Datenbank entfällt. Allerdings muss beim Anomaly Detection definiert werden, welches Muster zum normalen Datenverkehr gehört, wodurch sich die Schwelle für Fehlalarme erhöhen kann. Die beiden Verfahren verdeutlichen die Entwicklung vom IDS-System hin zum IPS-System, Intrusion Prevention System (IPS), die bestimmte Datenpakete erst gar nicht passieren lassen. Für die IDS-Technologie gibt es netzwerkbasierte Lösungen, Network Intrusion Detection System (NIDS), und hostbasierte, Host-Based Intrusion Detection System (HIDS).

Informationen zum Artikel
Deutsch: IDS-System
Englisch: intrusion detection system - IDS
Veröffentlicht: 25.11.2018
Wörter: 246
Tags: #Netzwerk-Sicherheitskonzepte
Links: Angriff, Anomalie, Anwendungsschicht, content, Datenbank