Intrusion Detection System

Ein Intrusion Detection System (IDS) dient der Erkennung von Angriffen auf ein Computersystem oder Computernetz. Man unterscheidet netzwerkbasierte ('NIDS) und hostbasierte Intrusion Detection Systeme (HIDS).

Die meisten IDS arbeiten mit Filtern und Signaturen, die spezifische Angriffsmuster beschreiben. Der Nachteil dieses Vorgehens ist, dass nur bereits bekannte Angriffe erkannt werden können und durch das Modifizieren bekannter Angriffe ist das System leicht umgehbar.

Andere IDS verwenden heuristische Methoden um auch bisher unbekannte Angriffe zu erkennen. Ziel ist, nicht nur bereits bekannte Angriffe, sondern auch ähnliche Angriffe oder ein Abweichen von einem Normalzustand zu erkennen.

In der Praxis haben signaturbasierte Systeme mit Abstand die größte Verbreitung. Ein Grund dafür ist, dass ihr Verhalten leichter voraussehbar ist. Ein Hauptproblem beim praktischen Einstatz von IDS ist, dass sie entweder viele falsche Warnungen (sog. false positives) generieren oder einige Angriffe nicht entdecken (sog. false negatives).

Anstatt nur einen Alarm auszulösen, wie ein NIDS, ist ein Network Intrusion Prevention System (NIPS, oder kurz IPS) in der Lage Datenpakete zu verwerfen, die Verbindung zu unterbrechen oder die übertragenen Daten zu ändern.

siehe auch: Firewall, TCP, UDP, Internet Protocol, Netzwerksicherheit

• Snort - Freies, signaturbasiertes NIDS
• Snort Inline - Freies NIPS
• Tripwire - HIDS, verwendet Prüfsummen um Änderungen am System zu überwachen
• AIDE Freies HIDS, ähnlich Tripwire

• Stephen Northcutt/Judy Novak: IDS: Intrusion Detection System, Bonn 2001

• SecurityFocus IDS englisch
• IDS FAQ englisch