Klassen von IDS / IPS

Ein Intrusion Detection System (IDS) ist ein Gerät, das ein Netzwerk oder Systeme auf bösartige Aktivitäten oder Richtlinienverletzungen überwacht. Jede erkannte Aktivität oder Verletzung wird in der Regel entweder an einen Administrator gemeldet oder zentral über ein SIEM-System (Security Information and Event Management) erfasst.

Ein SIEM-System kombiniert Ausgaben von mehreren Informationsquellen und verwendet Alarmfiltertechniken, um bösartige Aktivitäten von Fehlalarmen zu unterscheiden.

Die gängigsten Klassifizierungen sind Network Intrusion Detection Systems (NIDS) und Host-basierte Intrusion Detection Systems (HIDS).

Ein System, das wichtige Betriebssystemdateien überwacht, ist ein Beispiel für ein HIDS, während ein System, das eingehenden Netzwerkverkehr analysiert, ist ein Beispiel für ein NIDS.

Es ist auch möglich, IDS nach Erkennungsansatz zu klassifizieren: Die bekanntesten Varianten sind signaturbasierte Erkennung (Erkennen von bösartigen Mustern, wie Malware) und anomaliebasierte Erkennung (Erkennen von Abweichungen von einem Modell von „gutem“ Verkehr, diese Anomalien werden oft durch maschinelles Lernen erkannt).

Einige IDS können auf erkannte Einbrüche reagieren. Systeme, welche den „bösartigen“ Zugriff unterbinden, z.b. um den Zugriff auf eine Datei zu verbieten oder eine Netzwerk-Session blockieren, werden typischerweise als Intrusion Prevention-System (IPS) bezeichnet.

Erkennungsmethode

Signaturbasiert

Signaturbasiertes IDS bezieht sich auf die Erkennung von Angriffen, indem nach bestimmten Mustern gesucht wird, z. B. nach Bytefolgen im Netzwerkverkehr oder nach bekannten bösartigen Befehlssequenzen, die von Malware verwendet werden.
Diese Terminologie stammt von Antivirensoftware, die oft diese erkannten Muster als Signaturen bezeichnen. Obwohl signaturbasiertes IDS bekannte Angriffe leicht erkennen kann, ist es unmöglich, neue Angriffe zu erkennen, für die keine Muster verfügbar sind.

Anomalie-basiert

Anomalie-basierte Intrusion-Detection-Systeme wurden hauptsächlich eingeführt, um unbekannte Angriffe zu entdecken, teilweise aufgrund der schnellen Entwicklung von Malware. Der grundlegende Ansatz besteht darin, mithilfe von maschinellem Lernen ein Modell vertrauenswürdiger Aktivitäten zu erstellen und anschließend das neue Verhalten mit diesem Modell zu vergleichen. Obwohl dieser Ansatz die Erkennung bisher unbekannter Attacken ermöglicht, kann er schnell falsch positive Ergebnisse erzeugen.
Eine zuvor unbekannte legitime Aktivität kann ebenfalls als bösartig eingestuft werden.

DN-Systems hilft dabei, Systeme mit dem Besten aus beiden „Welten“ zu kombinieren, eine Kombination aus Signatur- und Anomalitäts-basiertem kombiniert mit Benutzerverhalten und Richtlinien-Definition.

Zum Beispiel sollten Mitarbeiter  der Buchhaltung nach 17 Uhr nicht auf Dateien der Entwicklungsabteilungen zugreifen.

Es sollte möglich sein, eine Richtlinie zu erstellen. Wenn am Wochenende und nach Feierabend auf solche Inhalte zugegriffen wird, sollte diese Richtlinie einen Alarm auslösen.