IDS ist ein Überwachungssystem, welches das System vor Fremdangriffen schützt, indem es den Informationsverkehr in und durch ein Netzwerk analysiert.
Ursprünglich beschränkte sich das IDS darauf, Informationen zu sammeln: der IT-Administrator überprüfte die Daten und leitete wenn nötig Gegenmaßnahmen ein, um das System zu sichern. Heutige IDS-Anwendungen reagieren meistens automatisch auf Fremdangriffe, je nach ihrer Konfiguration. Diese Anwendungen nennt man IPS; sie gelten als Weiterentwicklung der Behavior-Analyse.
Die IDS- (und IPS-)Systeme teilen sich in zwei Kategorien auf: Es gibt Host-basierte Systeme zum Schutz von Privatcomputern, die mit Hilfe der Behavior-Analyse nach Malicious Codes suchen. Sie überwachen dazu alle Anfragen an das System und vergleichen diese mit den Richtlinien des ‚normalen’ Verhaltens. Diese Richtlinien können jedoch sehr detailliert sein, da jede Anwendung ein spezifisches Verhalten haben kann. So können Aktivitäten wie das Öffnen und das Scannen von Ports (Port-Scanning), der Versuch zusätzliche Privilegien im System anzufügen oder das Injizieren eines Codes in eine laufende Anwendung als ‚abnormales’ Verhalten geblockt werden. Einige Systeme ergänzen die Behavior-Analyse und fügen die Signaturen von bekannten feindlichen Codes hinzu.
Netzwerk-basierte Systeme werden innerhalb des Netzwerks eingesetzt, um jedes Netzwerksegment zu schützen. Sie filtern Malicious Codes aus Datenpaketen, indem sie nach dem Gebrauch von abnormalen Bandbreiten für die Übertragung von z.B. verformten Datenpaketen suchen. Netzwerk-basierte Systeme sind besonders nützlich für die Entdeckung von DoS-Attacken und von Netzwerk-Würmern.
SELFPHP
SELFPHP - Damir Enseleit, info@selfphp.de, Impressum, Kontakt