Definition IDS

Was ist ein Intrusion Detection System (IDS)?

| Redakteur: Peter Schmitz

Ein Intrusion Detection System (IDS) erkennt anhand bestimmter Muster selbständig Angriffe auf Computersysteme oder Netzwerke und warnt davor.
Ein Intrusion Detection System (IDS) erkennt anhand bestimmter Muster selbständig Angriffe auf Computersysteme oder Netzwerke und warnt davor. (Bild: Pixabay / CC0)

Ein Intrusion Detection System, abgekürzt IDS, ist in der Lage, auf Computer, Server oder Netzwerke gerichtete Angriffe zu erkennen und darüber zu informieren. Oft ergänzt das Intrusion Detection System die üblichen Funktionen einer Firewall.

Ein Intrusion Detection System erkennt anhand bestimmter Muster selbständig Angriffe auf Computersysteme oder Netzwerke und informiert Anwender oder Administrationen. Ein IDS kann als eigenständige Hardware in einem Netzwerk installiert oder als Softwarekomponente auf einem vorhandenen System realisiert sein. Gegenüber einem so genannten Intrusion Prevention System (IPS) grenzt sich das IDS klar ab, da es Angriffe nur erkennt aber nicht aktiv verhindert und abwehrt.

Die entsprechenden Gegenmaßnahmen bei Angriffen werden von den Administratoren oder von weiteren Systemen aufgrund der Alarmierung durch das IDS eingeleitet. Gegenüber einer reinen Firewall bietet das Intrusion Detection System einen besseren Schutz, da es Angriffe auch nach einem Durchbruch durch die Firewall erkennen kann. Um wirksame Maßnahmen zur Abwehr der Attacke zu treffen, ist es wichtig, dass das IDS genaue Informationen über die Art und die Herkunft des Angriffs liefert. So lassen sich beispielsweise betroffene Services anhalten oder Ports sperren.

erschiedenen Arten von Intrusion Detection Systemen

Abhängig vom zu schützenden System und dem eingesetzten IDS kann grundsätzlich zwischen drei verschiedenen Arten von Intrusion Detection Systemen unterschieden werden:

  • das Host-basierte Intrusion Detection System
  • das Netzwerk-basierte Intrusion Detection System
  • das hybride Intrusion Detection System

Das Host-basierte IDS ist direkt auf den zu schützenden und zu überwachenden Systemen installiert. Es sammelt unterschiedliche Daten des Systems direkt aus seinen Logs, dem Kernel oder aus der Registry-Datenbank und analysiert diese in Bezug auf Auffälligkeiten oder bekannte Angriffsmuster. Wird das System beispielsweise durch eine DoS-Attacke außer Gefecht gesetzt, ist das IDS unwirksam.

Ein Netzwerk-basiertes IDS ist so in einem Netzwerk installiert, dass es alle Pakete lesen und auf verdächtige Muster untersuchen kann. Um die hohen Bandbreiten moderner Netzwerke zu unterstützen, muss das IDS eine hohe Performance für die Verarbeitung und Analyse der Daten unterstützen. Ist dies nicht der Fall, kann keine vollständige Überwachung durch das IDS sichergestellt werden.

So genannte hybride IDS vereinen Host- und Netzwerk-basierte Systeme und bieten einen noch umfassenderen Schutz. Die Bestandteile eines hybriden IDS sind Host-basierte Sensoren, Netz-basierte Sensoren und ein Management für die Administration und Überwachung der Sensoren und weitergehende Analysen der Daten.

Funktionsweise eines Intrusion Detection Systems

Die Funktionsweise eines Intrusion Detection Systems lässt sich immer in die einzelnen Schritte der Datensammlung und der Datenanalyse unterteilen. Während das Netzwerk-basierte IDS seine Daten auf Basis des mitgelesenen Datenverkehrs sammelt, nutzen Host-basierte oder hybride IDS weitere Quellen für ihre Daten. Wichtig ist, dass alle Daten aus vertrauenswürdigen Quellen stammen oder vom IDS selbst erhoben werden, damit eine Manipulation ausgeschlossen ist. Die gesammelten Daten untersucht das IDS nach Auffälligkeiten oder bekannten Angriffsmustern. Hierfür zieht es Datenbanken mit vordefinierten Mustern heran. Gleichzeitig hält das System nach Anomalien Ausschau. Diese lassen sich durch signifikante Abweichungen vom Normalbetrieb erkennen und benötigen keine vordefinierten Muster. Durch Anomalien lassen sich auch bisher unbekannte Angriffsszenarien erfassen. Moderne und leistungsfähige Systeme nutzen für die Anomalieerkennung Verfahren der künstlichen Intelligenz.

Der Honeypot als Teil eines Intrusion Detection Systems

Bestandteil vieler Intrusion Detection Systeme ist ein so genannter Honeypot. Es handelt sich dabei um einen besonderen Service oder einen speziellen Computer im Netzwerk, der einen Angriff provozieren soll. Er zieht quasi die Angriffe auf sich und bietet die Möglichkeit, diese genauer zu analysieren. Um Angriffe auf den Honeypot zu lenken, sind dort bewusst Sicherheitslücken vorhanden. Da der Honeypot selbst keine kritischen Daten für Angreifer bereithält und vom restlichen System abgeschottet ist, stellt der Angriff kein Sicherheitsproblem dar. Aufgrund der analysierten Angriffsmethoden können Abwehrmaßnahmen und -strategien entwickelt werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Was ist Unified Threat Management (UTM)?

Definition UTM

Was ist Unified Threat Management (UTM)?

Unified Threat Management bezeichnet eine Sicherheitslösung, die mehrere Sicherheitssysteme und -funktionen in einer einzigen Appliance bereitstellt. Bestandteile von UTM sind Firewalls, IDS- und IPS-Systeme, Virenschutz, Gateways, VPNs, Spamfilter und Contentfilter. lesen

Das sind die Gewinner der IT-Awards 2017

IT-Awards 2017

Das sind die Gewinner der IT-Awards 2017

Die Gewinner der IT-Awards 2017 stehen fest. Im Rahmen einer festlichen Gala wurden am 12. Oktober 2017 in Augsburg die Gewinner der Readers‘ Choice Awards der sieben Insider-Portale gekürt. lesen

Was ist ein Zero-Day-Exploit?

Definition Zero Day Exploit

Was ist ein Zero-Day-Exploit?

Ein Zero-Day-Exploit ist eine besondere Form des Exploits, also des Ausnutzens einer Schwachstelle, bei dem für eine entdeckte Sicherheitslücke noch kein Patch existiert. Ein solcher Exploit lässt sich für sehr gefährliche, weil unbemerkte Zero-Day-Angriffe verwenden, die beispielsweise Rootkits, Remote Access Trojaner (RATs) oder andere Malware verbreiten. lesen

KI revolutioniert die Cybersicherheit

Künstliche Intelligenz und Machine Learning

KI revolutioniert die Cybersicherheit

Künstliche Intelligenz (KI) gilt für viele Technologiebereiche als großer Zukunftstrend. Vom Smartphone, über Auto und Heim-Automatisierung, bis hin zur Kundenanalyse und sogar zur Abwehr von Cyberangriffen soll KI die Technologie revolutionieren. Das wird aber nicht von heute auf morgen geschehen, denn der Weg ist weit und die Schritte sind klein. lesen

Hacker jagen mit dem Honeypot Deluxe

Security-Startups im Blickpunkt: Cybertrap

Hacker jagen mit dem Honeypot Deluxe

Unternehmen müssen heute eine Vielzahl an Schutzmechanismen auffahren um Hacker, Malware und Insider-Bedrohungen abwehren zu können. Das österreichische Startup Cybertrap hat einen ganz eigenen Ansatz, um Hacker wirksam zu bekämpfen: Man sperrt sie nicht aus, sondern öffnet ihnen die Türen! lesen

Schwachstellen in Produktions-IT finden und absichern

Sicherheit in der Industrie 4.0

Schwachstellen in Produktions-IT finden und absichern

Fabriken sind immer wieder Ziel von Cyber-Angriffen – mit teils verheerenden Folgen: Ein Produktionsstillstand oder defekte Maschinen ziehen hohe Kosten nach sich. In Zeiten von Industrie 4.0 gewinnt das Thema IT-Sicherheit immer mehr an Bedeutung. Aber wie können Betriebe produktionsnahe IT absichern? lesen

Was ist eine Web Application Firewall?

Definition WAF

Was ist eine Web Application Firewall?

Eine Web Application Firewall (WAF) bietet Schutz für Webanwendungen, indem sie den Verkehr zwischen Clients und Webservern auf Anwendungsebene analysiert. Sie kann HTTP-Traffic überwachen, filtern und blockieren und ist direkt auf dem Server oder als eigenständige Firewall installiert. lesen

„IoT-Geräte sind der Traum für Hacker“

Interview mit Radware CEO

„IoT-Geräte sind der Traum für Hacker“

Auf der Radware Hackers Challenge trafen wir uns mit Roy Zisapel dem CEO und Mitgründer von Radware. Mit ihm sprechen wir über die Hacking-Veranstaltung, Attacken auf IoT-Geräte und wo die Reise hingeht. lesen

Was ist ein Intrusion Prevention System (IPS)?

Definition IPS

Was ist ein Intrusion Prevention System (IPS)?

Ein Intrusion Prevention System, abgekürzt IPS, ist in der Lage, Angriffe auf Netzwerke oder Computersysteme zu erkennen und automatische Abwehrmaßnahmen zu ergreifen. Es sorgt gegenüber herkömmlichen Firewall-Systemen für einen zusätzlichen Schutz. Ein Intrusion Prevention System (IPS) unterscheidet sich in einigen Funktionen klar von einem Intrusion Detection System (IDS). lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44718863 / Definitionen)