Einbruchmelder überwachen den Netzwerkverkehr oder die Systemaktivitäten auf Anzeichen böswilliger Aktivitäten oder Richtlinienverstöße. Diese Systeme analysieren Daten aus verschiedenen Quellen, wie z. B. Netzwerkpakete, Systemprotokolle und Benutzerverhalten, um Muster zu erkennen, die auf einen Einbruch hinweisen könnten. Wenn verdächtige Aktivitäten erkannt werden, generiert das System Warnungen, um Administratoren zu benachrichtigen, damit diese geeignete Maßnahmen zur Eindämmung der Bedrohung ergreifen können.
Ein Intrusion Detection System (IDS) nutzt Sensoren, um netzwerk- oder hostbasierte Daten zu erfassen und zu analysieren. Diese Sensoren können strategisch innerhalb eines Netzwerks platziert werden, um den Datenverkehr an kritischen Punkten zu überwachen, oder auf einzelnen Hosts, um Aktivitäten auf Systemebene zu beobachten. Das IDS vergleicht die erfassten Daten mit vordefinierten Signaturen bekannter Bedrohungen oder anomaliebasierten Profilen, die normales Verhalten darstellen. Wenn Abweichungen von diesen Signaturen oder Profilen festgestellt werden, protokolliert das IDS das Ereignis und generiert eine Warnung zur weiteren Untersuchung.
Das Prinzip eines Intrusion-Detection-Systems basiert auf der Erkennung von Abweichungen vom normalen Verhalten oder bekannten Bedrohungsmustern. IDS verwenden zwei Haupterkennungsmethoden: signaturbasierte Erkennung und anomaliebasierte Erkennung. Die signaturbasierte Erkennung stützt sich auf eine Datenbank mit bekannten Angriffsmustern und Signaturen, um bösartige Aktivitäten zu identifizieren. Die auf Anomalien basierende Erkennung legt eine Grundlinie für normales Verhalten fest und erkennt Anomalien durch die Identifizierung von Abweichungen von dieser Grundlinie. Das Prinzip besteht darin, potenzielle Bedrohungen zu erkennen und darauf zu reagieren, bevor sie erheblichen Schaden anrichten können.
Ein Intrusion Prevention System (IPS) funktioniert ähnlich wie ein IDS, verfügt jedoch über die zusätzliche Fähigkeit, erkannte Bedrohungen aktiv zu blockieren. Ein IPS überwacht den Netzwerkverkehr oder die Systemaktivitäten in Echtzeit und ergreift sofort Maßnahmen, wenn bösartige Aktivitäten erkannt werden. Diese Aktion kann das Verwerfen schädlicher Pakete, das Blockieren von IP-Adressen oder das Beenden verdächtiger Verbindungen umfassen. Durch die Kombination von Erkennungs- und Präventionsfunktionen kann ein IPS Angriffe stoppen, bevor sie erfolgreich sind, und so eine zusätzliche Sicherheitsebene bieten.
Die beiden Techniken zur Einbruchserkennung sind die signaturbasierte Erkennung und die anomaliebasierte Erkennung. Bei der signaturbasierten Erkennung werden überwachte Aktivitäten mit einer Datenbank bekannter Angriffssignaturen verglichen, um Übereinstimmungen zu identifizieren. Diese Methode eignet sich zum Erkennen bekannter Bedrohungen, kann jedoch bei neuen, unbekannten Angriffen Schwierigkeiten bereiten. Bei der auf Anomalien basierenden Erkennung geht es hingegen darum, eine Grundlinie für normales Verhalten festzulegen und Abweichungen von dieser Norm zu identifizieren. Diese Methode kann bisher unbekannte Bedrohungen erkennen, kann jedoch zu Fehlalarmen führen, wenn das normale Verhalten nicht genau definiert ist. Beide Techniken werden in Einbruchmeldesystemen häufig gemeinsam eingesetzt, um einen umfassenden Schutz zu bieten.