Die unsichtbaren Jäger: Network Intrusion Detection System im Einsatz
Was ist ein Network Intrusion Detection System?
Ein Network Intrusion Detection System ist ein Software Verbund, der dafür sorgt, dass Angriffe und auffällige Aktionen in einem Netzwerk erkannt und gemeldet werden. Der Name Detection System steht hierbei im Mittelpunkt und bezeichnet das Aufspüren von schadhaften Programmen und Verbindungen. Im Vergleich zu seinem Namenvetter „Network Intrusion Prevention System“ sorgt ein NIDS lediglich dafür, dass Gefahren erkannt werden.
NIDS stehen, abhängig von der Ausführung und Evolutionsstufe verschiedene Erkennungsmethoden und Verfahren zur Verfügung, um schadhaften Netzwerkverkehr und Aktionen zu erkennen.
Ein Network Intrusion Detection System ist ein Software Verbund, der dafür sorgt, dass Angriffe und auffällige Aktionen in einem Netzwerk erkannt und gemeldet werden. Der Name Detection System steht hierbei im Mittelpunkt und bezeichnet das Aufspüren von schadhaften Programmen und Verbindungen. Im Vergleich zu seinem Namenvetter „Network Intrusion Prevention System“ sorgt ein NIDS lediglich dafür, dass Gefahren erkannt werden.
Arten von NIDS Erkennungsmethoden
Signaturen-basierte Erkennung
Es wird bei der Untersuchung nach perfekten Übereinstimmungen in einer Referenzdatenbank gesucht. Schon bei kleinen Modifikationen an der Schadsoftware wird der Angriff nicht mehr erkannt.
Anomalien-basierte Erkennung
Es wird bei der Untersuchung nach Auffälligkeiten gesucht. Als Referenz dient ein einmal erlerntes Muster vom „Normalzustand“ des Netzwerks und der Nutzer. Fällt etwas aus der Reihe, schlägt das System Alarm.
Verhaltens-basierte Erkennung
Es wird bei der Untersuchung das Verhalten von Programmen und Netzwerkverbindungen beobachtet und analysiert. Erkennt das System auffällige Verhaltensmuster, schlägt es Alarm.
Heuristik-basierte Erkennung
Es wird bei der Untersuchung unter anderem auf künstliche Intelligenz gesetzt. Das System analysiert und bewertet das Verhalten im Netzwerk, die Verbindungen, den Datenfluss und viele weitere Indikatoren, um daraus seine Ergebnisse abzuleiten. Die Software lernt selbständig und entwickelt sich weiter. Sie erkennt nach einiger „Einlernzeit“ selbst, wie ein Netzwerk „funktioniert“, was „normal“ ist und was eben nicht.