Definition IDS

Was ist ein Intrusion Detection System (IDS)?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Ein Intrusion Detection System (IDS) erkennt anhand bestimmter Muster selbständig Angriffe auf Computersysteme oder Netzwerke und warnt davor.
Ein Intrusion Detection System (IDS) erkennt anhand bestimmter Muster selbständig Angriffe auf Computersysteme oder Netzwerke und warnt davor. (Bild: Pixabay / CC0)

Ein Intrusion Detection System, abgekürzt IDS, ist in der Lage, auf Computer, Server oder Netzwerke gerichtete Angriffe zu erkennen und darüber zu informieren. Oft ergänzt das Intrusion Detection System die üblichen Funktionen einer Firewall.

Ein Intrusion Detection System erkennt anhand bestimmter Muster selbständig Angriffe auf Computersysteme oder Netzwerke und informiert Anwender oder Administrationen. Ein IDS kann als eigenständige Hardware in einem Netzwerk installiert oder als Softwarekomponente auf einem vorhandenen System realisiert sein. Gegenüber einem so genannten Intrusion Prevention System (IPS) grenzt sich das IDS klar ab, da es Angriffe nur erkennt aber nicht aktiv verhindert und abwehrt.

Die entsprechenden Gegenmaßnahmen bei Angriffen werden von den Administratoren oder von weiteren Systemen aufgrund der Alarmierung durch das IDS eingeleitet. Gegenüber einer reinen Firewall bietet das Intrusion Detection System einen besseren Schutz, da es Angriffe auch nach einem Durchbruch durch die Firewall erkennen kann. Um wirksame Maßnahmen zur Abwehr der Attacke zu treffen, ist es wichtig, dass das IDS genaue Informationen über die Art und die Herkunft des Angriffs liefert. So lassen sich beispielsweise betroffene Services anhalten oder Ports sperren.

erschiedenen Arten von Intrusion Detection Systemen

Abhängig vom zu schützenden System und dem eingesetzten IDS kann grundsätzlich zwischen drei verschiedenen Arten von Intrusion Detection Systemen unterschieden werden:

  • das Host-basierte Intrusion Detection System
  • das Netzwerk-basierte Intrusion Detection System
  • das hybride Intrusion Detection System

Das Host-basierte IDS ist direkt auf den zu schützenden und zu überwachenden Systemen installiert. Es sammelt unterschiedliche Daten des Systems direkt aus seinen Logs, dem Kernel oder aus der Registry-Datenbank und analysiert diese in Bezug auf Auffälligkeiten oder bekannte Angriffsmuster. Wird das System beispielsweise durch eine DoS-Attacke außer Gefecht gesetzt, ist das IDS unwirksam.

Ein Netzwerk-basiertes IDS ist so in einem Netzwerk installiert, dass es alle Pakete lesen und auf verdächtige Muster untersuchen kann. Um die hohen Bandbreiten moderner Netzwerke zu unterstützen, muss das IDS eine hohe Performance für die Verarbeitung und Analyse der Daten unterstützen. Ist dies nicht der Fall, kann keine vollständige Überwachung durch das IDS sichergestellt werden.

So genannte hybride IDS vereinen Host- und Netzwerk-basierte Systeme und bieten einen noch umfassenderen Schutz. Die Bestandteile eines hybriden IDS sind Host-basierte Sensoren, Netz-basierte Sensoren und ein Management für die Administration und Überwachung der Sensoren und weitergehende Analysen der Daten.

Funktionsweise eines Intrusion Detection Systems

Die Funktionsweise eines Intrusion Detection Systems lässt sich immer in die einzelnen Schritte der Datensammlung und der Datenanalyse unterteilen. Während das Netzwerk-basierte IDS seine Daten auf Basis des mitgelesenen Datenverkehrs sammelt, nutzen Host-basierte oder hybride IDS weitere Quellen für ihre Daten. Wichtig ist, dass alle Daten aus vertrauenswürdigen Quellen stammen oder vom IDS selbst erhoben werden, damit eine Manipulation ausgeschlossen ist. Die gesammelten Daten untersucht das IDS nach Auffälligkeiten oder bekannten Angriffsmustern. Hierfür zieht es Datenbanken mit vordefinierten Mustern heran. Gleichzeitig hält das System nach Anomalien Ausschau. Diese lassen sich durch signifikante Abweichungen vom Normalbetrieb erkennen und benötigen keine vordefinierten Muster. Durch Anomalien lassen sich auch bisher unbekannte Angriffsszenarien erfassen. Moderne und leistungsfähige Systeme nutzen für die Anomalieerkennung Verfahren der künstlichen Intelligenz.

Der Honeypot als Teil eines Intrusion Detection Systems

Bestandteil vieler Intrusion Detection Systeme ist ein so genannter Honeypot. Es handelt sich dabei um einen besonderen Service oder einen speziellen Computer im Netzwerk, der einen Angriff provozieren soll. Er zieht quasi die Angriffe auf sich und bietet die Möglichkeit, diese genauer zu analysieren. Um Angriffe auf den Honeypot zu lenken, sind dort bewusst Sicherheitslücken vorhanden. Da der Honeypot selbst keine kritischen Daten für Angreifer bereithält und vom restlichen System abgeschottet ist, stellt der Angriff kein Sicherheitsproblem dar. Aufgrund der analysierten Angriffsmethoden können Abwehrmaßnahmen und -strategien entwickelt werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Was ist ein Indicator of Compromise?

Definition Indicator of Compromise (IoC)

Was ist ein Indicator of Compromise?

Indicator of Compromise (IoC) sind Merkmale und Daten, die auf die Kompromittierung eines Computersystems oder Netzwerks hinweisen. Es handelt sich beispielsweise um außergewöhnliche Netzaktivitäten, besondere Dateien, Einträge in Logfiles oder gestartete Prozesse. Die Kompromittierungsindikatoren lassen sich in eine strukturierte Form bringen und automatisiert auswerten. lesen

Hochschulnetzwerke – ein unkontrollierbares Chaos?

Der Feind im eigenen Netz

Hochschulnetzwerke – ein unkontrollierbares Chaos?

Unmengen an Daten kursieren an Hochschulen und den dazugehörigen Institutionen. Jeden Tag loggen sich Studierende, Universitäts-Angehörige und auch Gäste in das Netzwerk ein. Möglichkeiten dafür gibt es an vielen Orten: in der Bibliothek, den Seminarräumen, auf dem Campus oder im Wohnheim. Das ruft Kriminelle auf den Plan, die im Netzwerk kursierende Daten stehlen möchten. lesen

So schaffen Sie konsistente und schnelle Firmennetzwerke

Secure SD-WAN

So schaffen Sie konsistente und schnelle Firmennetzwerke

Unternehmen brauchen heute hohe Geschwindigkeiten und stabile Verbindungen für ihre Business-Anwendungen – auch in den Zweigstellen. SD-WAN ermöglicht dies. Aber: Das schafft auch neue Security-Risiken für Unternehmen. lesen

Was echte KI-Security von Katzenbildern lernen kann

Künstliche Intelligenz im Sicherheitskontext

Was echte KI-Security von Katzenbildern lernen kann

Hacker finden meist schnell einen Weg, neue Technologien zu ihrem Vorteil zu nutzen und KI ist da keine Ausnahme. Um intelligenten Cyberangriffen die Stirn zu bieten, müssen Security-Anbieter schon heute Wege finden, das Potenzial der neuen Technologie tatsächlich auszuschöpfen. Ein möglicher Schlüssel hierzu findet sich an unerwarteter Stelle: in der Bilderkennung. lesen

Rettungsanker rechtzeitig vor dem Worst Case in Stellung bringen

Ganzheitliches KRITIS-Management, Korb 2

Rettungsanker rechtzeitig vor dem Worst Case in Stellung bringen

Die Zeit drängt für Unternehmen, die als Kritische Infrastrukturen (KRITIS) eingestuft sind. Bis zum 30. Juni muss ein Gesamtkonzept für das KRITIS-Management etabliert werden. lesen

Testsieger, Marktführer und was dahinter steckt

Security und Werbung

Testsieger, Marktführer und was dahinter steckt

Werbung und Marketing sind heutzutage allgegenwärtig, sogar in der IT-Sicherheit. Es geht darum, potenziellen Kunden einen Impuls zu geben, sich mit einem Thema oder Produkt auseinanderzusetzen und dies letztendlich zu erwerben oder Sympathie dafür zu entwickeln. Werbebotschaften sind mitunter schwer erkennbar, aber ihre suggestive Botschaft kommt trotzdem an. lesen

Kriminelle Schürfer abwehren

Cryptojacking

Kriminelle Schürfer abwehren

Unter Cyberkriminellen herrscht Goldgräberstimmung. Sie kapern fremde Rechner, um damit Kryptowährungen wie Bitcoin, Ethereum oder Monero zu schürfen. Wie können sich Unternehmen schützen? lesen

Grundlagen der Netzwerksicherheit

Anforderungen der IT-Sicherheit

Grundlagen der Netzwerksicherheit

Zum Absichern von Unternehmensnetzen müssen Administratoren viele Entscheidungen treffen, Maßnahmen planen und noch mehr Konfigurationsschritte durchführen. Dazu gehören die Konfiguration der Firewall, die Absicherung des Mail- und Web-Verkehrs sowie die Auswahl der richtigen Antivirus-Lösung. Dieser Beitrag zeigt, welche Faktoren dabei zu beachten sind und welche Vorgehensweisen Sinn ergeben. lesen

Best Practices für Informationssicherheit

Empfehlungen von einem Outsourcing Anbieter

Best Practices für Informationssicherheit

Für die sich immer schneller verändernden IT-Umgebungen reichen für Unternehmen minimale Sicherheitsmaßnahmen längst nicht mehr aus, um sich vor internen oder externen Attacken zu schützen. Es lohnt sich also ein Blick auf die Best Practices und Security Controls, die vertrauenswürdige Dienstleister einsetzen, um die eigenen Systeme und die ihrer Kunden vor Angreifern zu schützen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44718863 / Definitionen)