Ein Intrusion Detection System (IDS) überprüft alle eingehenden und ausgehenden Netzwerkaktivitäten und identifiziert verdächtige Muster, die auf einen Netzwerk- oder Systemangriff von jemandem hinweisen können, der versucht, in ein System einzudringen oder es zu gefährden.
Es gibt verschiedene Möglichkeiten, ein IDS zu kategorisieren:
- Missbrauchserkennung vs Anomalieerkennung: Bei der Erkennung von Missbrauch analysiert das IDS die gesammelten Informationen und vergleicht sie mit großen Datenbanken mit Angriffssignaturen. Im Wesentlichen sucht das IDS nach einem bestimmten Angriff, der bereits dokumentiert wurde. Wie ein Virenerkennungssystem ist die Software zur Erkennung von Missbrauch nur so gut wie die Datenbank mit Angriffssignaturen, mit der Pakete verglichen werden. Bei der Erkennung von Anomalien definiert der Systemadministrator den Basiszustand oder den normalen Status der Verkehrslast, des Ausfalls, des Protokolls und der typischen Paketgröße des Netzwerks. Der Anomaliedetektor überwacht Netzwerksegmente, um ihren Zustand mit der normalen Basislinie zu vergleichen und nach Anomalien zu suchen.
- netzwerkbasiert vs Host-basierte Systeme: In einem netzwerkbasierten System oder NIDS werden die einzelnen Pakete, die durch ein Netzwerk fließen, analysiert. Die NIDS können schädliche Pakete erkennen, die von den vereinfachten Filterregeln einer Firewall übersehen werden sollen. In einem hostbasierten System überprüft das IDS die Aktivität auf jedem einzelnen Computer oder Host.
- passives System vs reaktives System: In einem passiven System erkennt das IDS eine potenzielle Sicherheitsverletzung, protokolliert die Informationen und signalisiert eine Warnung. In einem reaktiven System reagiert das IDS auf verdächtige Aktivitäten, indem es einen Benutzer abmeldet oder die Firewall neu programmiert, um den Netzwerkverkehr von der vermuteten böswilligen Quelle zu blockieren.
Obwohl sich beide auf die Netzwerksicherheit beziehen, unterscheidet sich ein IDS von einer Firewall darin, dass eine Firewall nach Eingriffen Ausschau hält, um dies zu verhindern. Die Firewall beschränkt den Zugriff zwischen Netzwerken, um ein Eindringen zu verhindern, und signalisiert keinen Angriff innerhalb des Netzwerks. Ein IDS wertet einen vermuteten Eingriff aus, sobald er stattgefunden hat, und signalisiert einen Alarm. Ein IDS sucht auch nach Angriffen, die von einem System ausgehen.