Definition IDS

Was ist ein Intrusion Detection System (IDS)?

| Redakteur: Peter Schmitz

Ein Intrusion Detection System (IDS) erkennt anhand bestimmter Muster selbständig Angriffe auf Computersysteme oder Netzwerke und warnt davor.
Ein Intrusion Detection System (IDS) erkennt anhand bestimmter Muster selbständig Angriffe auf Computersysteme oder Netzwerke und warnt davor. (Bild: Pixabay / CC0)

Ein Intrusion Detection System, abgekürzt IDS, ist in der Lage, auf Computer, Server oder Netzwerke gerichtete Angriffe zu erkennen und darüber zu informieren. Oft ergänzt das Intrusion Detection System die üblichen Funktionen einer Firewall.

Ein Intrusion Detection System erkennt anhand bestimmter Muster selbständig Angriffe auf Computersysteme oder Netzwerke und informiert Anwender oder Administrationen. Ein IDS kann als eigenständige Hardware in einem Netzwerk installiert oder als Softwarekomponente auf einem vorhandenen System realisiert sein. Gegenüber einem so genannten Intrusion Prevention System (IPS) grenzt sich das IDS klar ab, da es Angriffe nur erkennt aber nicht aktiv verhindert und abwehrt.

Die entsprechenden Gegenmaßnahmen bei Angriffen werden von den Administratoren oder von weiteren Systemen aufgrund der Alarmierung durch das IDS eingeleitet. Gegenüber einer reinen Firewall bietet das Intrusion Detection System einen besseren Schutz, da es Angriffe auch nach einem Durchbruch durch die Firewall erkennen kann. Um wirksame Maßnahmen zur Abwehr der Attacke zu treffen, ist es wichtig, dass das IDS genaue Informationen über die Art und die Herkunft des Angriffs liefert. So lassen sich beispielsweise betroffene Services anhalten oder Ports sperren.

erschiedenen Arten von Intrusion Detection Systemen

Abhängig vom zu schützenden System und dem eingesetzten IDS kann grundsätzlich zwischen drei verschiedenen Arten von Intrusion Detection Systemen unterschieden werden:

  • das Host-basierte Intrusion Detection System
  • das Netzwerk-basierte Intrusion Detection System
  • das hybride Intrusion Detection System

Das Host-basierte IDS ist direkt auf den zu schützenden und zu überwachenden Systemen installiert. Es sammelt unterschiedliche Daten des Systems direkt aus seinen Logs, dem Kernel oder aus der Registry-Datenbank und analysiert diese in Bezug auf Auffälligkeiten oder bekannte Angriffsmuster. Wird das System beispielsweise durch eine DoS-Attacke außer Gefecht gesetzt, ist das IDS unwirksam.

Ein Netzwerk-basiertes IDS ist so in einem Netzwerk installiert, dass es alle Pakete lesen und auf verdächtige Muster untersuchen kann. Um die hohen Bandbreiten moderner Netzwerke zu unterstützen, muss das IDS eine hohe Performance für die Verarbeitung und Analyse der Daten unterstützen. Ist dies nicht der Fall, kann keine vollständige Überwachung durch das IDS sichergestellt werden.

So genannte hybride IDS vereinen Host- und Netzwerk-basierte Systeme und bieten einen noch umfassenderen Schutz. Die Bestandteile eines hybriden IDS sind Host-basierte Sensoren, Netz-basierte Sensoren und ein Management für die Administration und Überwachung der Sensoren und weitergehende Analysen der Daten.

Funktionsweise eines Intrusion Detection Systems

Die Funktionsweise eines Intrusion Detection Systems lässt sich immer in die einzelnen Schritte der Datensammlung und der Datenanalyse unterteilen. Während das Netzwerk-basierte IDS seine Daten auf Basis des mitgelesenen Datenverkehrs sammelt, nutzen Host-basierte oder hybride IDS weitere Quellen für ihre Daten. Wichtig ist, dass alle Daten aus vertrauenswürdigen Quellen stammen oder vom IDS selbst erhoben werden, damit eine Manipulation ausgeschlossen ist. Die gesammelten Daten untersucht das IDS nach Auffälligkeiten oder bekannten Angriffsmustern. Hierfür zieht es Datenbanken mit vordefinierten Mustern heran. Gleichzeitig hält das System nach Anomalien Ausschau. Diese lassen sich durch signifikante Abweichungen vom Normalbetrieb erkennen und benötigen keine vordefinierten Muster. Durch Anomalien lassen sich auch bisher unbekannte Angriffsszenarien erfassen. Moderne und leistungsfähige Systeme nutzen für die Anomalieerkennung Verfahren der künstlichen Intelligenz.

Der Honeypot als Teil eines Intrusion Detection Systems

Bestandteil vieler Intrusion Detection Systeme ist ein so genannter Honeypot. Es handelt sich dabei um einen besonderen Service oder einen speziellen Computer im Netzwerk, der einen Angriff provozieren soll. Er zieht quasi die Angriffe auf sich und bietet die Möglichkeit, diese genauer zu analysieren. Um Angriffe auf den Honeypot zu lenken, sind dort bewusst Sicherheitslücken vorhanden. Da der Honeypot selbst keine kritischen Daten für Angreifer bereithält und vom restlichen System abgeschottet ist, stellt der Angriff kein Sicherheitsproblem dar. Aufgrund der analysierten Angriffsmethoden können Abwehrmaßnahmen und -strategien entwickelt werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Ohne IT steht der Betrieb still!

Hohes Risiko für Betriebsunterbrechungen

Ohne IT steht der Betrieb still!

Ein reibungsloser Datenzugriff ist heute bei vielen Unternehmen in Deutschland Grundbedingung, um den Betrieb aufrecht zu erhalten. Hackerangriffe können deshalb den Geschäftsbetrieb und die Existenz von Unternehmen bedrohen. Das zeigen die Ergebnisse einer Umfrage der internationalen Anwaltssozietät Bird & Bird in Zusammenarbeit mit YouGov Deutschland. lesen

CVE & Co. für Einsteiger

Common Vulnerabilities and Exposures (CVE)

CVE & Co. für Einsteiger

Sicherheitslücken stellen seit Jahren eine gewaltige Bedrohung für die Sicherheit von IT-Systemen dar. Damit Sicherheitsexperten, Entwickler und Anwender weltweit gemeinsam an der Beseitigung von Sicherheitslücken arbeiten können bedarf es eines einheitlichen Schemas zur Identifikation der Schwachstellen. Das Common Vulnerabilities and Exposures (CVE) bildet dazu seit 1999 einen unverzicht­baren Industriestandard. lesen

Log-Management-Tool für lokale IT-Umgebungen

Einblicke in die IT-Infrastruktur

Log-Management-Tool für lokale IT-Umgebungen

Mit dem SolarWinds Log Manager für Orion sollen Benutzer die Protokolldaten von Tausenden Geräten filtern, durchsuchen und visualisieren können. Mithilfe der so gewonnen Einblicke in die IT-Infrastruktur könnten Leistungsprobleme nahezu in Echtzeit behoben werden. lesen

Jedes dritte Unternehmen kämpft mit Erpressungs-Trojanern

Netscout-Studie

Jedes dritte Unternehmen kämpft mit Erpressungs-Trojanern

Die Angst der Unternehmen, Opfer eines Erpressungs-Trojaners oder einer DDoS-Attacke zu werden, herrscht bei 64 Prozent der befragten Unternehmen vor, so eine Netscout-Studie. Im Visier der Cyberkriminellen stehen kundenzentrierte Anwendungen und Dienste sowie IT-Infrastrukturen. lesen

Security-Updates für alle Windows-10-Versionen

Microsoft Patchday August 2018

Security-Updates für alle Windows-10-Versionen

Zum August-Patchday am 14. August 2018 hat Microsoft kumulative Updates für alle aktuellen Versionen von Windows 10 geliefert. Die Sicherheitsupdates schließen teils kritische Schwachstellen in Windows, Internet Explorer, Microsoft Edge und der JavaScript Engine des Edge ChakraCore, sowie in Office, Adobe Flash Player, .NET Framework, Exchange Server, SQL Server und Visual Studio. lesen

Intrusion-Detection und -Prevention-Systeme

Überblick über IDS und IPS

Intrusion-Detection und -Prevention-Systeme

Ein Intrusion-Detection- oder Intrusion-Pre­ven­tion-System (IDS / IPS) ist eine Security-Lösung, die ein Netzwerk oder eine Netz­werk­kom­po­nen­te wie einen Server oder einen Switch überwacht und versucht, Regel­ver­let­zung­en und schädliche Vorfälle wie Hacker-Angriffe zu erkennen und diese dann teilweise automatisch abzuwehren. Wir zeigen wie sich IDS und IPS unterscheiden und wer die wichtigsten Hersteller sind. lesen

Keine Digitalisierung ohne sichere Identitäten

Neues eBook „Neue Rollen für das Identity Management“

Keine Digitalisierung ohne sichere Identitäten

Mit der fortschreitenden Digitalisierung werden Maschinen, Sensoren und Anwendungen vernetzt, Social Bots agieren in sozialen Netzwerken und Künstliche Intelligenzen beeinflussen Entscheidungen. Es reicht deshalb nicht mehr, die Identitäten der Nutzer und Administratoren zu verwalten und zu schützen. Neue Identitäten und ein neuer Identitätsschutz sind erforderlich. lesen

Was ist ein Managed Security Service (MSS)

Definition MSS / MSSP

Was ist ein Managed Security Service (MSS)

Managed Security Services (MSS) sind Dienstleistungen zur Verwaltung und Sicherstellung der IT-Sicherheit von Unternehmen oder Organisationen. Anbieter dieser Dienstleistungen sind die Managed Security Service Provider (MSSP). Je nach Anbieter können die Services unterschiedlichen Leistungsumfang haben. lesen

Sicherheit zum Nulltarif

[Gesponsert]

Open Source Security Appliances

Sicherheit zum Nulltarif

"Security out of the Box" entpuppt sich oft als Illusion. Auch Appliances etablierter Hersteller sind nicht vor Angriffen gefeit und schlagen durch Lizenzkosten kräftig aufs Budget. Open-Source-Lösungen wie OPNsense sind eine Alternative, wenn die Hardware passt. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44718863 / Definitionen)