HIDS

Ein Intrusion Detection System (IDS) ist ein System (Hardware und/oder Software) zur Erkennung von Angriffen auf ein Computersystem oder Computernetz. Der Begriff bezieht sich meist auf Systeme, die mit dem Internet verbunden sind. Richtig eingesetzt, ergänzen sich eine Firewall und ein IDS und erhöhen so die Sicherheit von Netzwerken.

Host-Basierte IDS Sie stellen die älteste Art von Intrusion Detection Systemen dar. Sie wurden ursprünglich vom Militär entwickelt und sollten die Sicherheit von Großrechnern garantieren.

Ein HIDS muss auf jedem zu überwachenden System installiert werden. Der Begriff "Host" darf allerdings nicht missverstanden werden. In diesem Kontext ist als Host jedes System gemeint, auf welchem ein IDS installiert ist.

Ein HIDS muss das Betriebssystem unterstützen. Es erhält seine Informationen aus Log-Dateien, Kernel-Daten und anderen Systemdaten wie etwa der Registry. Es schlägt Alarm, sobald es in den überwachten Daten einen vermeintlichen Angriff erkennt.

Eine Unterart der HIDS sind sogenannte "System Integrity Verifiers", die mit Hilfe von Prüfsummen bestimmen, ob Veränderungen am System vorgenommen wurden.

Vorteile:

• Sehr spezifische Aussagen über den Angriff.
• Kann ein System umfassend überwachen.

Nachteile:

• Kann durch einen DoS-Angriff ausgehebelt werden.
• Wenn das System außer Gefecht gesetzt wurde, ist auch das IDS lahmgelegt.

Quelle: Wikipedia