Et Intrusion Detection System (IDS) er en netværkssikkerhedsteknologi, der oprindeligt blev udviklet til at registrere sårbarhedsudnyttelser mod et målprogram eller en computer. Intrusion Prevention Systems (IPS) udvidede IDS-løsninger ved at tilføje evnen til at blokere trusler ud over at registrere dem og er blevet den dominerende implementeringsmulighed for IDS/IPS-teknologier. Denne artikel vil uddybe den konfiguration og de funktioner, der definerer IDS-implementeringen.
Et IDS behøver kun at detektere trusler og er som sådan placeret out-of-band på netværksinfrastrukturen, hvilket betyder, at det ikke befinder sig i den ægte realtidskommunikationsvej mellem afsender og modtager af oplysninger. I stedet vil IDS-løsninger ofte udnytte en TAP- eller SPAN-port til at analysere en kopi af inline-trafikstrømmen (og dermed sikre, at IDS ikke påvirker inline-netværkets ydeevne).
IDS blev oprindeligt udviklet på denne måde, fordi den analysedybde, der var nødvendig for at opdage indbrud, dengang ikke kunne udføres med en hastighed, der kunne holde trit med komponenter på den direkte kommunikationsvej i netværksinfrastrukturen.
Som forklaret er IDS også en enhed, der kun lytter. IDS’et overvåger trafikken og rapporterer sine resultater til en administrator, men kan ikke automatisk træffe foranstaltninger for at forhindre, at en opdaget udnyttelse overtager systemet. Angribere er i stand til at udnytte sårbarheder meget hurtigt, når de først er kommet ind i netværket, hvilket gør IDS’et til en utilstrækkelig indsættelse til forebyggelse af enheden.
Den følgende tabel opsummerer forskellene i den teknologi, der er indbygget i IPS og IDS-indsættelsen:
| Intrusion Prevention System | IDS Deployment | |
|---|---|---|
| Placering i netværksinfrastrukturen | En del af den direkte kommunikationslinje (inline) | Uden for den direkte kommunikationslinje (out-of-band) |
| Systemtype | Aktiv (monitor & forsvarer sig automatisk) og/eller passiv | Passiv (monitor & underretter) |
| Detekteringsmekanismer | 1. Statistisk anomalibaseret detektion 2. Signaturdetektion: – Signaturer rettet mod udnyttelse – Signaturer rettet mod sårbarhed |
1. Signaturdetektion: – Exploit-orienterede signaturer |