Intrusion Detection System - Definition

Ein Intrusion Detection System (IDS) ist eine Sicherheitslösung zur Überwachung von Netzwerken oder IT-Systemen, die verdächtige Aktivitäten, Angriffe oder Richtlinienverstöße frühzeitig erkennt und meldet, ohne dass der Datenverkehr blockiert wird.

Ein IDS analysiert den Netzwerkverkehr auf auffällige Muster oder ungewöhnliches Verhalten. Dabei können z. B. DNS-Poisoning, fehlerhafte Datenpakete und Scan-Angriffe erkannt werden. Das System arbeitet passiv und überwacht eine Kopie des Datenverkehrs, etwa über einen TAP- oder SPAN-Port, sodass die Netzwerkleistung nicht beeinträchtigt wird.

Ein wichtiger Unterschied besteht zum Intrusion Prevention System (IPS): Während ein IDS Angriffe lediglich erkennt und meldet, kann ein IPS aktiv eingreifen und schädlichen Datenverkehr blockieren.

Wichtige Arten von IDS:

• Netzwerkbasiertes IDS (NIDS): Überwacht den gesamten Datenverkehr innerhalb eines Netzwerks. Es wird meist an strategischen Punkten installiert wie direkt hinter einer Firewall.
• Hostbasiertes IDS (HIDS): Läuft direkt auf einzelnen Endgeräten oder Servern und überwacht dort Aktivitäten, Dateien und Systemänderungen.
• Cloudbasiertes IDS: Schützt Anwendungen und Daten in Cloud-Umgebungen.
• Hybrides IDS: Kombiniert mehrere Ansätze, z. B. Netzwerk- und Hostüberwachung, für einen umfassenden Sicherheitsüberblick.

Erkennungsmethoden:

Ein IDS nutzt meist zwei grundlegende Verfahren zur Angriffserkennung:

• Signaturbasierte Erkennung: Vergleicht Datenverkehr mit bekannten Angriffsmustern. Dafür müssen Signaturdatenbanken regelmäßig aktualisiert werden.
• Anomaliebasierte Erkennung: Erstellt ein Modell des normalen Netzwerkverhaltens und erkennt Abweichungen davon. Dadurch können auch neue oder unbekannte Angriffe entdeckt werden, allerdings besteht ein höheres Risiko für Fehlalarme.