Einbruchserkennungssystem (IDS)ist wie ein Scout im Netzwerk. Seine Hauptfunktion besteht darin, Eindringlinge zu erkennen und einen Alarm zu senden. Durch die Echtzeitüberwachung des Netzwerkverkehrs oder des Hostverhaltens vergleicht es die voreingestellte „Angriffssignaturbibliothek“ (wie bekannten Virencode, Hackerangriffsmuster) mit der „normalen Verhaltensbasis“ (wie normale Zugriffshäufigkeit, Datenübertragungsformat) und löst sofort einen Alarm aus und zeichnet ein detailliertes Protokoll auf, sobald eine Anomalie festgestellt wird. Wenn ein Gerät beispielsweise häufig versucht, das Serverkennwort mit Brute Force zu knacken, erkennt IDS dieses abnormale Anmeldemuster, sendet umgehend eine Warninformation an den Administrator und speichert wichtige Beweise wie die Angriffs-IP-Adresse und die Anzahl der Versuche, um eine spätere Rückverfolgbarkeit zu gewährleisten.
Je nach Einsatzort lassen sich IDS im Wesentlichen in zwei Kategorien unterteilen. Netzwerk-IDS (NIDS) werden an zentralen Knotenpunkten des Netzwerks (z. B. Gateways, Switches) eingesetzt, um den Datenverkehr des gesamten Netzwerksegments zu überwachen und geräteübergreifende Angriffe zu erkennen. Mainframe-IDS (HIDS) werden auf einem einzelnen Server oder Terminal installiert und konzentrieren sich auf die Überwachung des Verhaltens eines bestimmten Hosts, wie z. B. Dateiänderungen, Prozessstarts, Portbelegung usw., wodurch der Angriff auf ein einzelnes Gerät präzise erfasst werden kann. Eine E-Commerce-Plattform stellte einmal einen abnormalen Datenfluss über NIDS fest – eine große Menge an Benutzerinformationen wurde von einer unbekannten IP-Adresse heruntergeladen. Nach einer rechtzeitigen Warnung schloss das technische Team die Schwachstelle schnell und verhinderte so Datenlecks.
Mylinking™ Network Packet Brokers-Anwendung im Intrusion Detection System (IDS)
Intrusion Prevention System (IPS)ist der „Wächter“ des Netzwerks und erhöht die Fähigkeit, Angriffe mithilfe der Erkennungsfunktion des IDS aktiv abzufangen. Bei Erkennung von bösartigem Datenverkehr kann es in Echtzeit Blockierungsvorgänge durchführen, z. B. abnormale Verbindungen unterbrechen, bösartige Pakete löschen oder angreifende IP-Adressen blockieren, ohne auf das Eingreifen des Administrators warten zu müssen. Identifiziert IPS beispielsweise die Übertragung eines E-Mail-Anhangs mit den Merkmalen eines Ransomware-Virus, fängt es die E-Mail sofort ab, um zu verhindern, dass der Virus in das interne Netzwerk eindringt. Bei DDoS-Angriffen kann es eine große Anzahl gefälschter Anfragen herausfiltern und den normalen Serverbetrieb sicherstellen.
Die Abwehrfähigkeit von IPS basiert auf einem „Echtzeit-Reaktionsmechanismus“ und einem „intelligenten Upgrade-System“. Moderne IPS aktualisieren die Datenbank mit Angriffssignaturen regelmäßig, um die neuesten Hackerangriffsmethoden abzugleichen. Einige High-End-Produkte unterstützen zudem „Verhaltensanalyse und -lernen“, wodurch neue und unbekannte Angriffe (wie Zero-Day-Exploits) automatisch erkannt werden können. Ein von einem Finanzinstitut eingesetztes IPS-System entdeckte und blockierte einen SQL-Injection-Angriff, der eine unbekannte Sicherheitslücke ausnutzte, indem es die abnormale Häufigkeit von Datenbankabfragen analysierte und so die Manipulation zentraler Transaktionsdaten verhinderte.
Obwohl IDS und IPS ähnliche Funktionen haben, gibt es wesentliche Unterschiede: Aus Sicht der Rolle ist IDS ein passives Überwachungs- und Alarmierungssystem und greift nicht direkt in den Netzwerkverkehr ein. Es eignet sich für Szenarien, die eine vollständige Prüfung erfordern, aber den Dienst nicht beeinträchtigen sollen. IPS steht für „Active Defense + Intermission“ und kann Angriffe in Echtzeit abfangen, muss aber sicherstellen, dass der normale Datenverkehr nicht falsch eingeschätzt wird (Falschmeldungen können zu Dienstunterbrechungen führen). In der Praxis arbeiten sie oft zusammen: IDS ist für die umfassende Überwachung und Beweissicherung verantwortlich, um die Angriffssignaturen von IPS zu ergänzen. IPS ist für das Abfangen in Echtzeit, die Abwehr von Bedrohungen, die Reduzierung von Angriffsverlusten und die Bildung eines vollständigen Sicherheitskreislaufs aus „Erkennung, Abwehr und Rückverfolgbarkeit“ verantwortlich.
IDS/IPS spielt in verschiedenen Szenarien eine wichtige Rolle: In Heimnetzwerken können einfache IPS-Funktionen wie die in Router integrierte Angriffsabfangfunktion vor gängigen Port-Scans und bösartigen Links schützen. In Unternehmensnetzwerken ist der Einsatz professioneller IDS/IPS-Geräte erforderlich, um interne Server und Datenbanken vor gezielten Angriffen zu schützen. Im Cloud-Computing können Cloud-native IDS/IPS an elastisch skalierbare Cloud-Server angepasst werden, um abnormalen Datenverkehr zwischen Mandanten zu erkennen. Mit der kontinuierlichen Verbesserung der Hackerangriffsmethoden entwickelt sich IDS/IPS auch in Richtung „intelligenter KI-Analyse“ und „mehrdimensionaler Korrelationserkennung“, wodurch die Abwehrgenauigkeit und Reaktionsgeschwindigkeit der Netzwerksicherheit weiter verbessert werden.
Mylinking™ Network Packet Brokers-Anwendung im Intrusion Prevention System (IPS)
Veröffentlichungszeit: 22. Oktober 2025
