Netzwerksicherheit
Intrusion Detection System (IDS)
Auch bekannt als: IDS
Definition
Eine passive Sicherheitskomponente, die Netzwerk- oder Host-Aktivität auf böswilliges Verhalten überwacht und Alarme auslöst, ohne Verkehr zu blockieren.
Beispiele
- Suricata an einem SPAN-Port alarmiert auf ein Log4Shell-Ausnutzungsmuster.
- OSSEC auf einem Linux-Host erkennt Änderungen an /etc/passwd und sendet einen Alarm ans SIEM.
Verwandte Begriffe
Intrusion Prevention System (IPS)
Eine inline arbeitende Sicherheitskomponente, die bösartigen Verkehr erkennt und in Echtzeit aktiv blockiert, zurücksetzt oder filtert.
Host-basiertes IDS (HIDS)
Ein auf einem Server oder Endpunkt installierter Agent, der lokale Dateien, Prozesse, Logs und Systemaufrufe auf bösartige Aktivität überwacht.
Netzwerk-basiertes IDS (NIDS)
Ein Intrusion-Detection-Sensor, der aus einem Netzwerksegment kopierten Verkehr analysiert, um bösartige Muster und Policy-Verstöße zu erkennen.
Signaturbasierte Erkennung
Eine Erkennungsmethode, die beobachteten Verkehr, Dateien oder Verhalten mit einer Datenbank bekannter bösartiger Muster (Signaturen) abgleicht, um bösartige Aktivität zu kennzeichnen.
Anomaliebasierte Erkennung
Ein Erkennungsansatz, der eine Baseline normalen Verhaltens aufbaut und Abweichungen davon als potenziell bösartig kennzeichnet.
SIEM
Plattform, die Sicherheits-Telemetrie aus dem gesamten Unternehmen aggregiert, normalisiert und korreliert, um Erkennung, Untersuchung, Compliance und Reporting zu ermöglichen.