Eindringungserkennungssystem bzw. Einbruchserkennungssystem
Eindringungserkennungssysteme gehören heute genauso zu einer Netzwerksicherheitsumgebung wie Firewalls. Ein IDS kann Einbruchsversuche auf verschiedene Art und Weise erkennen.
So kann es z.B. wichtige Systemdateien mittels einer digitalen Signatur auf Veränderungen überprüfen.
Weiterhin kann es den Netzwerkverkehr statistisch überwachen und verdächtige Vorgänge erkennen, weil viele Einbrüche eine signifikante Veränderung vom normalen Netzverkehr darstellen. So kann man z.B. einen Portscan an der zeitlich gehäuften Adressierung von sonst nicht benutzten Ports erkennen. Eine Smurf-Attacke ist durch einen erhöhten ICMP-Verkehr sowie Ping-Pakete an Broadcast-Adressen erkennbar.
Außerdem kann ein IDS signaturbasiert altbekannte Einbruchsarten durch eine Prüfung des Netzverkehrs gegen eine Datenbank erkennen.
Unter dem Stichwort Active Security Policy findet man mehr und mehr Systeme, die nicht nur bei Einbrüchen warnen, sondern auch aktiv Gegenmaßnahmen ergreifen. So können sie im Falle eines Einbruchs z.B. restriktive ACLs in Routern aktivieren, die den Einbruch abblocken. Zum Teil werden solche Systeme auch Intrusion Prevention System genannt.
Ein modernes IDS besteht daher aus Monitor- bzw. Datenquellen, einer Datenbank zur Zwischenspeicherung des Netzverkehrs, einem oder mehreren Analyzer-Modulen sowie Reaktionskomponenten. Es konnte sich noch keine offene Schnittstelle zwischen Modulen verschiedener Hersteller ausprägen. OPSEC und CIDF sind Bemühungen um solche Schnittstellen.
