Was ist ein Intrusion Detection System?

Informationsnetzwerke können sehr anfällig für böswillige Angriffe von Würmern, Viren und verschiedenen anderen Netzwerkbedrohungen sein, wobei regelmäßig neue Probleme auftauchen. Solche Angriffe können die Netzwerke lahmlegen, wichtige Daten zerstören und die Produktivität beeinträchtigen. Um dies zu verhindern, werden Intrusion Detection-Systeme (IDS) zum Schutz von Informationsnetzwerken eingerichtet.

Ein Intrusion Detection-System dient als Schutz, der Angriffe erkennt, bevor oder sobald sie eintreten, die Systemadministration benachrichtigt und geeignete Schritte unternimmt, um die Angriffe zu deaktivieren und die normale Funktionsfähigkeit des Netzwerks wiederherzustellen. In Intrusion Detection-Systemen ist normalerweise ein gewisses Maß an menschlicher Überwachung und Untersuchung erforderlich, da das IDS nicht absolut narrensicher ist. Ein Intrusion Detection-System kann beispielsweise einige Netzwerkbedrohungen nicht erkennen oder in ausgelasteten Netzwerken möglicherweise nicht den gesamten Datenverkehr überprüfen, der durch das Netzwerk geleitet wird.

Im täglichen Betrieb überwacht das Intrusion Detection-System die Benutzeraktivität und den Datenverkehr im Netzwerk und überwacht die Systemkonfigurationen und die Systemdateien. Wenn Anomalien oder Angriffe festgestellt werden, wird vom Einbruchsicherungssystem sofort ein Alarm ausgelöst, um den Systemadministrator auf die Angelegenheit aufmerksam zu machen. Das System kann dann mit der Behandlung der Netzwerkbedrohungen fortfahren oder den Administrator überlassen, wie das Problem am besten behoben werden kann.

Es gibt drei Haupttypen von Intrusion Detection-Systemen, die zusammen ein Intrusion Prevention-System bilden. Die erste ist die Erkennung von Netzwerkeinbrüchen, die eine Bibliothek bekannter Netzwerkbedrohungen verwaltet. Das System überprüft das Internet und aktualisiert diese Bibliothek ständig. Auf diese Weise wird das System über die neuesten Netzwerkbedrohungen informiert und kann das Netzwerk besser schützen. Der vorbeigehende Datenverkehr wird überwacht und mit der Bibliothek überprüft. Wenn bekannte Angriffe oder ungewöhnliche Verhaltensweisen mit denen in der Bibliothek übereinstimmen, wird das System gestartet, um den Datenverkehr zu blockieren.

Die Erkennung des Eindringens von Netzwerkknoten ist der zweite Teil des Intrusion Prevention-Systems. Es überprüft und analysiert den Datenverkehr, der vom Netzwerk zu einem bestimmten Host geleitet wird. Der dritte Teil ist das Host-Intrusion-Detection-System, das nach Änderungen am aktuellen System sucht. Wenn Dateien geändert oder gelöscht werden, gibt das Host-Intrusion-Detection-System einen Alarm aus. Sie kann den Angriff entweder direkt deaktivieren oder eine neue, verbesserte Sicherheitsumgebung einrichten.