Klassifikation IDS Intrusion Detection Systeme, Arten

Intrusion Detection Systeme werden wie folgend klassifiziert, wobei es bei der Klassifikation darauf ankommt, wo und welche Sensoren der ID-Systeme platziert und welche Verfahren der Angriffserkennung eingesetzt werden.

Klassifikation IDS Intrusion Detection Systeme, Arten

Applikationsbasierte ID-Systeme

Applikationsbasierte ID-Systeme überprüfen vorwiegend das Verhalten von Anwendungsprogrammen. Die Protokollierung des Verhaltens dieser Programme wird meist mittels Log-Dateien.

Hostbasierte ID-Systeme

Die hostbasierten ID-Systeme gehen meist systemzentriert vor und sind mit sogenannten Agentenprogrammen ausgestattet. Diese Agentenprogramme müssen auf allen Hosts installiert werden, welche überwacht werden sollen. Die hostbasierten ID-Systeme überwachen das Verhalten von Benutzerkonten, interpretieren Systemprotokolle und Kernelmeldungen, prüfen Zugriffsverletzungen und manche von ihnen überwachen und suchen nach Trojanern und Hintertüren. Auch die Datenintegrität auf den einzelnen Hosts kann mit Tools, die hochwertige Prüfsummen berechnen durchgeführt werden, sofern in dem hostbasierten ID-System ein solches integriert ist (UNIX: z.B. Tripwire). Hostbasierte ID-Systeme ähneln den persönlichen Firewalls, wenn sie sehr gut ausgestattet sind, sehr stark.

Netzwerkbasierte ID-Systeme

Die netzwerkbasierten ID-Systeme überwachen das Netzwerk mit Netzwerk-Sensoren. Es können mehrere Sensoren im ganzen Netz verteilt werden und mittels einer Konsole überwacht werden. Überwacht wird der Netzwerkverkehr im eigenen Unternehmensnetz. Wegen der großen Anzahl an Netzwerkverkehr in größeren Unternehmen ist es deshalb besonders wichtig die Sensoren an wichtigen Stellen im Netz zu platzieren, z.B. auf einem Router oder in der Nähe einer Firewall. Der überwachte Datenverkehr wird mit bekannten Angriffsmustern oder Signaturen verglichen und ausgewertet.

Hybride ID-Systeme

Die hybriden ID-Systeme sind heute wohl die gängigsten kommerziellen IDS-Produkte, welche im Umlauf sind. Sie sind eine Kombination aus hostbasierten und netzwerkbasierten ID-Systemen. Sie besitzen sowohl Netzwerk- als auch Hostsensoren und bieten so eine höhere Überwachungssicherheit. Die Steuerung der Sensoren wird mittels einer Managementkonsole vorgenommen, welche zumeist auf einem eigenen Host sitzt, also architekturbezogen von den Sensoren getrennt installiert wird.

Neuronale ID-Systeme

Die anderen bereits klassifizierten ID-Systeme beziehen ihre Erkennungsgrundlage aus bereits bestehenden Filtern und Signaturen. Es können also nur Angriffe abgewehrt und erkannt werden, die bereits bekannt sind. Das neuronale ID-System jedoch soll auch Angriffe erkennen, welche ähnlich oder sogar unbekannt sind. Dazu muss das neuronale ID-System in der Lage sein selbst zu lernen. Hierbei ist es besonders wichtig, dass das neuronale ID-System zwischen normalem und abnormalem Netzwerkverkehr unterscheiden kann. Dringend erforderlich ist, aus Gründen des selbständigen Lernens, eine Anlernzeit zum Erlernen des Netzwerkverkehrs innerhalb eines Unternehmensnetzes. Zur Zeit befinden sich die neuronalen ID-Systeme noch im Forschungsstadium und bauen auf neuronalen Netzwerken mit künstlicher Intelligenz auf. Entwickelt wird ein solches System beim Massachusetts Institut of Technology (MIT).