Intrusion Detection Systeme (IDS) sind in ihrem Anwendungsbereich etwas eingeschränkt, sie adressieren die folgenden Punkte nicht:
– Schwachstelle in der Policy-Definition
– Schwachstelle auf Anwendungsebene
– Backdoor innerhalb der Anwendung
– Schwachstellen in Identifikations- und Authentifizierungsschemata

Ein IDS arbeitet in Verbindung mit Routern und Firewalls, indem es Anomalien in der Netzwerknutzung überwacht.

Zu den Hauptkategorien von IDS gehören:
– Netzwerkbasierte IDS
– Host-basierte IDS

Netzwerkbasierte IDS
Sie erkennen Angriffe innerhalb des überwachten Netzwerks und geben eine Warnung an den Betreiber aus.
Wenn ein netzwerkbasiertes IDS zwischen dem Internet und der Firewall platziert ist, erkennt es alle Angriffsversuche, unabhängig davon, ob sie die Firewall erreichen oder nicht
Netzwerkbasierte IDS sind blind, wenn es um verschlüsselten Datenverkehr geht.

Host-basierte IDS
Sie werden für eine bestimmte Umgebung konfiguriert und überwachen verschiedene interne Ressourcen des Betriebssystems, um vor einem möglichen Angriff zu warnen.
Sie können die Veränderung von ausführbaren Programmen erkennen, Dateien erkennen und eine Warnung ausgeben, wenn versucht wird, ein privilegiertes Konto zu verwenden.
Sie können den Datenverkehr überwachen, nachdem er entschlüsselt wurde und sie ergänzen das netzwerkbasierte IDS.

Typen von IDS umfassen:
Statistisch basierte IDS – Diese Systeme benötigen eine umfassende Definition des bekannten und erwarteten Verhaltens des Systems

Neuronales Netzwerk – Ein IDS mit dieser Funktion überwacht die allgemeinen Muster der Aktivität und des Datenverkehrs im Netzwerk und erstellt eine Datenbank. Dies ist ähnlich wie ein statistisches Modell, jedoch mit zusätzlichen selbstlernenden Funktionen.

Signaturbasiertes IDS – Diese IDS-Systeme schützen vor erkannten Eindringungsmustern. Die Eindringmuster, die sie erkennen können, werden in Form einer Signatur gespeichert.

Autor: Richard Hunkeler