Definition IDS

Was ist ein Intrusion Detection System (IDS)?

| Redakteur: Peter Schmitz

Ein Intrusion Detection System (IDS) erkennt anhand bestimmter Muster selbständig Angriffe auf Computersysteme oder Netzwerke und warnt davor.
Ein Intrusion Detection System (IDS) erkennt anhand bestimmter Muster selbständig Angriffe auf Computersysteme oder Netzwerke und warnt davor. (Bild: Pixabay / CC0)

Ein Intrusion Detection System, abgekürzt IDS, ist in der Lage, auf Computer, Server oder Netzwerke gerichtete Angriffe zu erkennen und darüber zu informieren. Oft ergänzt das Intrusion Detection System die üblichen Funktionen einer Firewall.

Ein Intrusion Detection System erkennt anhand bestimmter Muster selbständig Angriffe auf Computersysteme oder Netzwerke und informiert Anwender oder Administrationen. Ein IDS kann als eigenständige Hardware in einem Netzwerk installiert oder als Softwarekomponente auf einem vorhandenen System realisiert sein. Gegenüber einem so genannten Intrusion Prevention System (IPS) grenzt sich das IDS klar ab, da es Angriffe nur erkennt aber nicht aktiv verhindert und abwehrt.

Die entsprechenden Gegenmaßnahmen bei Angriffen werden von den Administratoren oder von weiteren Systemen aufgrund der Alarmierung durch das IDS eingeleitet. Gegenüber einer reinen Firewall bietet das Intrusion Detection System einen besseren Schutz, da es Angriffe auch nach einem Durchbruch durch die Firewall erkennen kann. Um wirksame Maßnahmen zur Abwehr der Attacke zu treffen, ist es wichtig, dass das IDS genaue Informationen über die Art und die Herkunft des Angriffs liefert. So lassen sich beispielsweise betroffene Services anhalten oder Ports sperren.

erschiedenen Arten von Intrusion Detection Systemen

Abhängig vom zu schützenden System und dem eingesetzten IDS kann grundsätzlich zwischen drei verschiedenen Arten von Intrusion Detection Systemen unterschieden werden:

  • das Host-basierte Intrusion Detection System
  • das Netzwerk-basierte Intrusion Detection System
  • das hybride Intrusion Detection System

Das Host-basierte IDS ist direkt auf den zu schützenden und zu überwachenden Systemen installiert. Es sammelt unterschiedliche Daten des Systems direkt aus seinen Logs, dem Kernel oder aus der Registry-Datenbank und analysiert diese in Bezug auf Auffälligkeiten oder bekannte Angriffsmuster. Wird das System beispielsweise durch eine DoS-Attacke außer Gefecht gesetzt, ist das IDS unwirksam.

Ein Netzwerk-basiertes IDS ist so in einem Netzwerk installiert, dass es alle Pakete lesen und auf verdächtige Muster untersuchen kann. Um die hohen Bandbreiten moderner Netzwerke zu unterstützen, muss das IDS eine hohe Performance für die Verarbeitung und Analyse der Daten unterstützen. Ist dies nicht der Fall, kann keine vollständige Überwachung durch das IDS sichergestellt werden.

So genannte hybride IDS vereinen Host- und Netzwerk-basierte Systeme und bieten einen noch umfassenderen Schutz. Die Bestandteile eines hybriden IDS sind Host-basierte Sensoren, Netz-basierte Sensoren und ein Management für die Administration und Überwachung der Sensoren und weitergehende Analysen der Daten.

Funktionsweise eines Intrusion Detection Systems

Die Funktionsweise eines Intrusion Detection Systems lässt sich immer in die einzelnen Schritte der Datensammlung und der Datenanalyse unterteilen. Während das Netzwerk-basierte IDS seine Daten auf Basis des mitgelesenen Datenverkehrs sammelt, nutzen Host-basierte oder hybride IDS weitere Quellen für ihre Daten. Wichtig ist, dass alle Daten aus vertrauenswürdigen Quellen stammen oder vom IDS selbst erhoben werden, damit eine Manipulation ausgeschlossen ist. Die gesammelten Daten untersucht das IDS nach Auffälligkeiten oder bekannten Angriffsmustern. Hierfür zieht es Datenbanken mit vordefinierten Mustern heran. Gleichzeitig hält das System nach Anomalien Ausschau. Diese lassen sich durch signifikante Abweichungen vom Normalbetrieb erkennen und benötigen keine vordefinierten Muster. Durch Anomalien lassen sich auch bisher unbekannte Angriffsszenarien erfassen. Moderne und leistungsfähige Systeme nutzen für die Anomalieerkennung Verfahren der künstlichen Intelligenz.

Der Honeypot als Teil eines Intrusion Detection Systems

Bestandteil vieler Intrusion Detection Systeme ist ein so genannter Honeypot. Es handelt sich dabei um einen besonderen Service oder einen speziellen Computer im Netzwerk, der einen Angriff provozieren soll. Er zieht quasi die Angriffe auf sich und bietet die Möglichkeit, diese genauer zu analysieren. Um Angriffe auf den Honeypot zu lenken, sind dort bewusst Sicherheitslücken vorhanden. Da der Honeypot selbst keine kritischen Daten für Angreifer bereithält und vom restlichen System abgeschottet ist, stellt der Angriff kein Sicherheitsproblem dar. Aufgrund der analysierten Angriffsmethoden können Abwehrmaßnahmen und -strategien entwickelt werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Cybersecurity braucht mehr Transparenz

it-sa 2018

Cybersecurity braucht mehr Transparenz

Sichtbarkeit und Transparenz gehörten zu den wichtigsten Themen auf der IT-Sicherheitsfachmesse it-sa 2018 in Nürnberg. Nicht nur die Bedrohungen werden immer komplexer, sondern auch die Lösungen. Mehr Visibility hilft den Anwendern und dem Channel: Transparenz zeigt den Bedarf, schafft Vertrauen und wirkt Sicherheitslücken entgegen. lesen

Was ist ein SIEM?

Definition Security Information and Event Management (SIEM)

Was ist ein SIEM?

Das Security Information and Event Management (SIEM) ermöglicht einen ganzheitlichen Blick auf die IT-Sicherheit, indem Meldungen und Logfiles verschiedener Systeme gesammelt und ausgewertet werden. Verdächtige Ereignisse oder gefährliche Trends lassen sich in Echtzeit erkennen. lesen

Was ist CVE?

Definition Common Vulnerabilities and Exposures (CVE)

Was ist CVE?

Bei den Common Vulnerabilities and Exposures (CVE) handelt es sich um eine standardisierte Liste über Schwachstellen und Sicherheitsrisiken von Computersystemen. Dank der eindeutigen Benennung wird der Datenaustausch über Schwachstellen und Sicherheitsrisiken vereinfacht. Laufende Nummern identifizieren die verschiedenen Einträge eindeutig. lesen

Die beliebtesten Enterprise Network Firewalls 2018

IT-Awards 2018

Die beliebtesten Enterprise Network Firewalls 2018

Wenn es um die effektive Absicherung des Firmennetzwerks geht, sorgen Enterprise Network Firewalls für umfassenden Schutz. Die Appliances bieten nicht nur vielfältige Firewall-Funktionen, sondern stellen auch Intrusion-Prevention-Systeme (IPS) und andere Sicherheits­features bereit. Sie dienen somit als leistungsfähiger zentraler Kontrollpunkt für ein- und ausgehenden Traffic. lesen

Die beliebtesten Web Application Firewalls 2018

IT-Awards 2018

Die beliebtesten Web Application Firewalls 2018

Wer seine Webanwendungen wirksam vor unerwünschten Zugriffen schützen will, nutzt eine Web Application Firewall (WAF). Moderne Web Application Firewalls überwachen den Datenverkehr auf Anwen­dungs­ebene direkt auf dem jeweiligen Webserver und greifen ein, sobald verdächtige Aktivitäten im Traffic auffallen. lesen

Die beliebtesten Endpoint Protection Plattformen 2018

IT-Awards 2018

Die beliebtesten Endpoint Protection Plattformen 2018

Mitarbeiter in Unternehmen arbeiten schon lange nicht mehr nur an Desktop-Systemen: Neben PCs tummeln sich zunehmend Notebooks, Tablets, Smartphones und IoT-Geräte in der Enterprise-IT. Konzepte wie BYOD („Bring Your Own Device“) oder Home Office machen Security-Administratoren das Leben nicht einfacher. Umso wichtiger sind umfassende und belastbare Endpoint-Protection-Plattformen (EPP). lesen

Industrie 4.0? Aber sicher!

Hardware-basierte Security

Industrie 4.0? Aber sicher!

Das Vernetzen von Maschinen und Geräten per IoT eröffnet ungeahnte Möglichkeiten für die moderne Fertigung – macht sie aber anfällig für Cyberangriffe. Hardwarebasierte Sicherheitslösungen auf Basis von Security-Chips sind der beste Weg, um Maschinenidentitäten sowie Daten und Kommunikation effizient zu schützen, denn Security-Controller bieten skalierbare Sicherheit. lesen

Die CVE-Auflistung bekannter Sicherheitslücken

Common Vulnerabilities and Exposures

Die CVE-Auflistung bekannter Sicherheitslücken

Im Rahmen von IT-Security-Warnungen werden oft CVE-Einträge genannt, die bestimmte Lücken und Risiken in Software-Produkten adressieren. Aber was genau steckt hinter den Common Vulnerabilities and Exposures? lesen

Was ist ein Zero-Trust-Modell?

Definition Zero Trust

Was ist ein Zero-Trust-Modell?

Das Zero-Trust-Modell ist ein Sicherheitskonzept, das auf dem Grundsatz basiert, keinem Gerät, Nutzer oder Dienst innerhalb oder außerhalb des eigenen Netzwerks zu vertrauen. Es erfordert umfangreiche Maßnahmen zur Authentifizierung sämtlicher Anwender und Dienste sowie zur Prüfung des Netzwerkverkehrs. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44718863 / Definitionen)