Informationsnetzwerke können sehr anfällig für bösartige Angriffe durch Würmer, Viren und verschiedene andere Netzwerkbedrohungen sein, wobei an diesen Fronten regelmäßig neue Probleme auftauchen. Solche Angriffe können die Netzwerke lahmlegen, wichtige Daten zerstören und die Produktivität beeinträchtigen. Um dies zu verhindern, werden Intrusion Detection Systeme (IDS) zum Schutz von Informationsnetzwerken eingerichtet.
Ein Intrusion-Detection-System dient als Schutz, das Angriffe vor oder während des Auftretens erkennt, die Systemverwaltung alarmiert und dann geeignete Schritte unternimmt, um die Angriffe zu deaktivieren und das Netzwerk auf seine normale Arbeitsfähigkeit zurückzusetzen. In Intrusion-Detection-Systemen ist normalerweise ein gewisses Maß an menschlicher Überwachung und Untersuchung erforderlich, da das IDS nicht vollständig narrensicher ist. Ein Intrusion-Detection-System kann beispielsweise einige Netzwerkbedrohungen nicht erkennen oder bei ausgelasteten Netzwerken möglicherweise nicht den gesamten Datenverkehr überprüfen, der das Netzwerk passiert.
Im täglichen Betrieb überwacht das Intrusion Detection System die Benutzeraktivität und den Datenverkehr im Netzwerk und überwacht die Systemkonfigurationen und die Systemdateien. Wenn Auffälligkeiten oder Angriffe erkannt werden, setzt das Intrusion Detection System sofort einen Alarm, um den Systemadministrator auf die Angelegenheit aufmerksam zu machen. Das System kann dann fortfahren, sich mit den Netzwerkbedrohungen zu befassen, oder den Administrator entscheiden lassen, wie das Problem am besten angegangen wird.
Es gibt drei Haupttypen von Intrusion-Detection-Systemen, die zusammen ein Intrusion-Prevention-System bilden. Die erste ist die Erkennung von Netzwerkangriffen, die eine Bibliothek bekannter Netzwerkbedrohungen verwaltet. Das System durchsucht das Internet und aktualisiert diese Bibliothek ständig; Auf diese Weise wird das System über die neuesten Netzwerkbedrohungen informiert und kann das Netzwerk besser schützen. Der passierende Verkehr wird von der Bibliothek überwacht und überprüft, und wenn ein bekannter Angriff oder ein anormales Verhalten mit denen in der Bibliothek übereinstimmt, bereitet sich das System darauf vor, ihn zu blockieren.
Die Intrusion Detection von Netzwerkknoten ist der zweite Teil des Intrusion-Prevention-Systems. Es überprüft und analysiert den Datenverkehr, der vom Netzwerk zu einem bestimmten Host geleitet wird. Der dritte Teil ist das Host Intrusion Detection System, das nach Änderungen am aktuellen System sucht. Wenn Dateien geändert oder gelöscht werden, schlägt das Host Intrusion Detection System Alarm. Es kann den Angriff entweder direkt deaktivieren oder eine neue, verbesserte Sicherheitsumgebung einrichten.