Definition IDS

Was ist ein Intrusion Detection System (IDS)?

| Redakteur: Peter Schmitz

Ein Intrusion Detection System (IDS) erkennt anhand bestimmter Muster selbständig Angriffe auf Computersysteme oder Netzwerke und warnt davor.
Ein Intrusion Detection System (IDS) erkennt anhand bestimmter Muster selbständig Angriffe auf Computersysteme oder Netzwerke und warnt davor. (Bild: Pixabay / CC0)

Ein Intrusion Detection System, abgekürzt IDS, ist in der Lage, auf Computer, Server oder Netzwerke gerichtete Angriffe zu erkennen und darüber zu informieren. Oft ergänzt das Intrusion Detection System die üblichen Funktionen einer Firewall.

Ein Intrusion Detection System erkennt anhand bestimmter Muster selbständig Angriffe auf Computersysteme oder Netzwerke und informiert Anwender oder Administrationen. Ein IDS kann als eigenständige Hardware in einem Netzwerk installiert oder als Softwarekomponente auf einem vorhandenen System realisiert sein. Gegenüber einem so genannten Intrusion Prevention System (IPS) grenzt sich das IDS klar ab, da es Angriffe nur erkennt aber nicht aktiv verhindert und abwehrt.

Die entsprechenden Gegenmaßnahmen bei Angriffen werden von den Administratoren oder von weiteren Systemen aufgrund der Alarmierung durch das IDS eingeleitet. Gegenüber einer reinen Firewall bietet das Intrusion Detection System einen besseren Schutz, da es Angriffe auch nach einem Durchbruch durch die Firewall erkennen kann. Um wirksame Maßnahmen zur Abwehr der Attacke zu treffen, ist es wichtig, dass das IDS genaue Informationen über die Art und die Herkunft des Angriffs liefert. So lassen sich beispielsweise betroffene Services anhalten oder Ports sperren.

erschiedenen Arten von Intrusion Detection Systemen

Abhängig vom zu schützenden System und dem eingesetzten IDS kann grundsätzlich zwischen drei verschiedenen Arten von Intrusion Detection Systemen unterschieden werden:

  • das Host-basierte Intrusion Detection System
  • das Netzwerk-basierte Intrusion Detection System
  • das hybride Intrusion Detection System

Das Host-basierte IDS ist direkt auf den zu schützenden und zu überwachenden Systemen installiert. Es sammelt unterschiedliche Daten des Systems direkt aus seinen Logs, dem Kernel oder aus der Registry-Datenbank und analysiert diese in Bezug auf Auffälligkeiten oder bekannte Angriffsmuster. Wird das System beispielsweise durch eine DoS-Attacke außer Gefecht gesetzt, ist das IDS unwirksam.

Ein Netzwerk-basiertes IDS ist so in einem Netzwerk installiert, dass es alle Pakete lesen und auf verdächtige Muster untersuchen kann. Um die hohen Bandbreiten moderner Netzwerke zu unterstützen, muss das IDS eine hohe Performance für die Verarbeitung und Analyse der Daten unterstützen. Ist dies nicht der Fall, kann keine vollständige Überwachung durch das IDS sichergestellt werden.

So genannte hybride IDS vereinen Host- und Netzwerk-basierte Systeme und bieten einen noch umfassenderen Schutz. Die Bestandteile eines hybriden IDS sind Host-basierte Sensoren, Netz-basierte Sensoren und ein Management für die Administration und Überwachung der Sensoren und weitergehende Analysen der Daten.

Funktionsweise eines Intrusion Detection Systems

Die Funktionsweise eines Intrusion Detection Systems lässt sich immer in die einzelnen Schritte der Datensammlung und der Datenanalyse unterteilen. Während das Netzwerk-basierte IDS seine Daten auf Basis des mitgelesenen Datenverkehrs sammelt, nutzen Host-basierte oder hybride IDS weitere Quellen für ihre Daten. Wichtig ist, dass alle Daten aus vertrauenswürdigen Quellen stammen oder vom IDS selbst erhoben werden, damit eine Manipulation ausgeschlossen ist. Die gesammelten Daten untersucht das IDS nach Auffälligkeiten oder bekannten Angriffsmustern. Hierfür zieht es Datenbanken mit vordefinierten Mustern heran. Gleichzeitig hält das System nach Anomalien Ausschau. Diese lassen sich durch signifikante Abweichungen vom Normalbetrieb erkennen und benötigen keine vordefinierten Muster. Durch Anomalien lassen sich auch bisher unbekannte Angriffsszenarien erfassen. Moderne und leistungsfähige Systeme nutzen für die Anomalieerkennung Verfahren der künstlichen Intelligenz.

Der Honeypot als Teil eines Intrusion Detection Systems

Bestandteil vieler Intrusion Detection Systeme ist ein so genannter Honeypot. Es handelt sich dabei um einen besonderen Service oder einen speziellen Computer im Netzwerk, der einen Angriff provozieren soll. Er zieht quasi die Angriffe auf sich und bietet die Möglichkeit, diese genauer zu analysieren. Um Angriffe auf den Honeypot zu lenken, sind dort bewusst Sicherheitslücken vorhanden. Da der Honeypot selbst keine kritischen Daten für Angreifer bereithält und vom restlichen System abgeschottet ist, stellt der Angriff kein Sicherheitsproblem dar. Aufgrund der analysierten Angriffsmethoden können Abwehrmaßnahmen und -strategien entwickelt werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44718863 / Intrusion-Detection und -Prevention)