Grundlegendes Intrusion Detection System

Grundlegendes Intrusion Detection System

Schauen Sie sich dieses Zitat von Admiral Grace Hopper an

„Vor dem Zweiten Weltkrieg war das Leben einfacher. Danach hatten wir Systeme “



Was bedeutet das eigentlich? Mit der Erfindung von Systemen (Computersystemen) kamen die zunehmenden Anforderungen an die Vernetzung und mit der Vernetzung die Idee des Datenaustauschs. In dieser Zeit der Globalisierung mit der Entwicklung der Informationstechnologie sowie dem einfachen Zugriff und der Entwicklung von Hacking-Tools besteht heute die Notwendigkeit, wichtige Daten zu schützen. Firewalls bieten dies möglicherweise an, warnen den Administrator jedoch niemals vor Angriffen. Hier entsteht die Notwendigkeit eines anderen Systems - einer Art Erkennungssystem.




Ein Intrusion Detection System ist eine erforderliche Lösung für das oben genannte Problem. Es ähnelt einem Einbruchmeldesystem in Ihrem Haus oder einer Organisation, das unerwünschte Eingriffe erkennt und den Systemadministrator benachrichtigt.

Es handelt sich um eine Art von Software, die Administratoren automatisch warnt, wenn jemand versucht, mit böswilligen Aktivitäten das System zu durchbrechen.



Nun, bevor Sie etwas über ein Intrusion Detection System Lassen Sie uns einen kurzen Rückruf über Firewalls geben.

Firewalls sind Softwareprogramme oder Hardwaregeräte, mit denen böswillige Angriffe auf das System oder das Netzwerk verhindert werden können. Sie fungieren im Grunde genommen als Filter, die jede Art von Informationen blockieren, die eine Bedrohung für das System oder das Netzwerk darstellen können. Sie können entweder nur wenige Inhalte des eingehenden Pakets überwachen oder das gesamte Paket überwachen.


Klassifizierung des Intrusion Detection Systems:

Basierend auf der Art der Systeme schützt das IDS:



  • Network Intrusion Detection System : Dieses System überwacht den Verkehr in einzelnen Netzwerken oder Subnetzen, indem es den Verkehr kontinuierlich analysiert und mit den bekannten Angriffen in der Bibliothek vergleicht. Wenn ein Angriff erkannt wird, wird eine Warnung an den Systemadministrator gesendet. Es wird hauptsächlich an wichtigen Stellen im Netzwerk platziert, damit der Datenverkehr zu und von den verschiedenen Geräten im Netzwerk überwacht werden kann. Das IDS befindet sich entlang der Netzwerkgrenze oder zwischen dem Netzwerk und dem Server. Ein Vorteil dieses Systems besteht darin, dass es einfach und kostengünstig bereitgestellt werden kann, ohne dass für jedes System geladen werden muss.
Network Intrusion Detection System

Network Intrusion Detection System

  • Host Intrusion Detection System : Ein solches System funktioniert auf einzelnen Systemen, auf denen die Netzwerkverbindung zum System, d. H. Eingehende und ausgehende Pakete, ständig überwacht wird und auch die Prüfung von Systemdateien durchgeführt wird, und im Falle von Unstimmigkeiten wird der Systemadministrator darüber informiert. Dieses System überwacht das Betriebssystem des Computers. Das IDS ist auf dem Computer installiert. Der Vorteil dieses Systems besteht darin, dass es das gesamte System genau überwachen kann und keine andere Hardware installiert werden muss.
Host Intrusion Detection System

Host Intrusion Detection System

Basierend auf der Arbeitsweise:

  • Signaturbasiertes Intrusion Detection System : Dieses System arbeitet nach dem Matching-Prinzip. Die Daten werden analysiert und mit der Signatur bekannter Angriffe verglichen. Im Falle einer Übereinstimmung wird eine Warnung ausgegeben. Ein Vorteil dieses Systems ist die höhere Genauigkeit und die vom Benutzer verstandenen Standardalarme.
Signaturbasiertes Intrusion Detection System

Signaturbasiertes Intrusion Detection System

  • Anomaliebasiertes Intrusion Detection System : Es besteht aus einem statistischen Modell des normalen Netzwerkverkehrs, das aus der verwendeten Bandbreite, den für den Verkehr definierten Protokollen, den Ports und Geräten besteht, die Teil des Netzwerks sind. Es überwacht regelmäßig den Netzwerkverkehr und vergleicht ihn mit dem statistischen Modell. Im Falle einer Anomalie oder Diskrepanz wird der Administrator benachrichtigt. Ein Vorteil dieses Systems ist, dass es neue und einzigartige Angriffe erkennen kann.
Anomaliebasiertes Intrusion Detection System

Anomaliebasiertes Intrusion Detection System

Basierend auf ihrer Funktionsweise:

  • Passives Intrusion Detection System : Es erkennt einfach die Art des Malware-Vorgangs und gibt eine Warnung an den System- oder Netzwerkadministrator aus. (Was wir bisher gesehen haben!) Die erforderlichen Maßnahmen werden dann vom Administrator ergriffen.
Passives Intrusion Detection System

Passives Intrusion Detection System

  • Reaktives Intrusion Detection System : Es erkennt nicht nur die Bedrohung, sondern führt auch bestimmte Aktionen aus, indem die verdächtige Verbindung zurückgesetzt oder der Netzwerkverkehr von der verdächtigen Quelle blockiert wird. Es ist auch als Intrusion Prevention System bekannt.

Typische Merkmale eines Intrusion Detection Systems:

  • Es überwacht und analysiert die Benutzer- und Systemaktivitäten.
  • Es führt eine Prüfung der Systemdateien und anderer Konfigurationen sowie des Betriebssystems durch.
  • Es bewertet die Integrität von System- und Datendateien
  • Es führt eine Analyse von Mustern basierend auf bekannten Angriffen durch.
  • Es erkennt Fehler in der Systemkonfiguration.
  • Es erkennt und warnt, wenn das System in Gefahr ist.

Kostenlose Intrusion Detection Software

Snort Intrusion Detection System

Eine der am häufigsten verwendeten Intrusion Detection-Software ist die Snort-Software. Es ist ein Netzwerkeinbruch Erkennungssoftware entwickelt von der Quelldatei. Es führt eine Echtzeit-Verkehrsanalyse und -Protokollanalyse, einen Mustervergleich und die Erkennung verschiedener Arten von Angriffen durch.

Snort Intrusion Detection System

Snort Intrusion Detection System

Ein Snort-basiertes Intrusion Detection-System besteht aus folgenden Komponenten:

Komponenten von Snort IDS durch Intrusion Detection System mit Snort

Komponenten von Snort IDS durch Intrusion Detection System mit Snort

  • Ein Paketdecoder : Es nimmt Pakete aus verschiedenen Netzwerken und bereitet sie für die Vorverarbeitung oder weitere Aktionen vor. Grundsätzlich werden die kommenden Netzwerkpakete dekodiert.
  • Ein Präprozessor : Es bereitet und modifiziert die Datenpakete und führt auch eine Defragmentierung von Datenpaketen durch, decodiert die TCP-Streams.
  • Eine Erkennungsmaschine : Es führt eine Paketerkennung auf der Grundlage von Snort-Regeln durch. Wenn ein Paket den Regeln entspricht, werden entsprechende Maßnahmen ergriffen, andernfalls wird es verworfen.
  • Protokollierungs- und Warnsystem : Das erkannte Paket wird entweder in Systemdateien protokolliert oder bei Bedrohungen wird das System benachrichtigt.
  • Ausgabemodule : Sie steuern die Art der Ausgabe vom Protokollierungs- und Warnsystem.

Vorteile von Intrusion Detection-Systemen

  • Das Netzwerk oder der Computer wird ständig auf Invasionen oder Angriffe überwacht.
  • Das System kann entsprechend den Anforderungen bestimmter Clients modifiziert und geändert werden und kann sowohl externen als auch internen Bedrohungen für das System und das Netzwerk helfen.
  • Es verhindert effektiv Schäden am Netzwerk.
  • Es bietet eine benutzerfreundliche Oberfläche, die einfache Sicherheitsmanagementsysteme ermöglicht.
  • Änderungen an Dateien und Verzeichnissen im System können leicht erkannt und gemeldet werden.

Ein einziger Nachteil des Intrusion Detection Systems besteht darin, dass sie die Quelle des Angriffs nicht erkennen können und in jedem Fall nur das gesamte Netzwerk sperren. Wenn Sie weitere Fragen zu diesem Konzept oder zu den elektrischen und elektronischen Projekten haben, hinterlassen Sie die folgenden Kommentare.