Intrusion Detection System

• Man unterscheidet drei Arten von IDS:
  • Host-basierte IDS (HIDS)
  • Netzwerk-basierte IDS (NIDS)
  • Hybride IDS

Host-basierte IDS

• Es erhält seine Informationen aus Log-Dateien, Kernel-Daten und anderen Systemdaten wie etwa der Registrierungsdatenbank
• Eine Unterart der HIDS sind sogenannte „System Integrity Verifiers“, die mit Hilfe von Prüfsummen bestimmen, ob Veränderungen am System vorgenommen wurden.

Vorteile

• Sehr spezifische Aussagen über den Angriff.
• Kann ein System umfassend überwachen.

Nachteile

Kann durch einen DoS-Angriff ausgehebelt werden. Wenn das System außer Gefecht gesetzt wurde, ist auch das IDS lahmgelegt.

Netzwerk-basierte IDS

• NIDS versuchen, alle Pakete im Netzwerk aufzuzeichnen, zu analysieren und verdächtige Aktivitäten zu melden

Vorteile

• Ein Sensor kann ein ganzes Netz überwachen.
• Durch Ausschalten eines Zielsystems ist die Funktion des Sensors nicht gefährdet.

Nachteile

• Keine lückenlose Überwachung bei Überlastung der Bandbreite des IDS.
• Keine lückenlose Überwachung in geswitchten Netzwerken (nur durch Mirror-Port auf einem Switch).
• Keine lückenlose Überwachung bei verschlüsselter Kommunikation (kann zwar möglicherweise die Datenpakete sehen, aber nicht den verschlüsselten Inhalt)

Hybride IDS

• Hybride IDS verbinden beide Prinzipien, um eine höhere Abdeckung bei der Erkennung von aufgetretenen Angriffen gewährleisten zu können.
  • Hostbasierte Sensoren (HIDS)
  • Netzbasierte Sensoren (NIDS)