Forensische IDS Systeme

Um in einem Netz Aktivitäten zu überwachen und zu analysieren, bedient man sich IDS Systeme. Mit diesen Systemen werden Angriffsmuster erkannt und Aktivitätsmuster Analysiert. Damit ist man in der Lage, direkt auf entdeckte Bedrohungen zu reagieren.

Intrusion Detection System-Einbrüche erkennen

IDS (Intrusion Forensik Systeme) sammeln alle Informationen der Ereignisse. Die Daten werden Tagsüber gesammelt, gespeichert und außerhalb der üblichen Arbeitszeiten, meistens nachts weitergeleitet und analysiert. Viele der frühen hostbasierten IDS funktionieren nach diesem Ansatz, um die Leistung der Rechner nicht durch zusätzlich Analysen zu beeinträchtigen. Ziel sind die Reparatur entstandener Schäden und die genaue Analyse eines Angriffs zum Aufbau eines vertieften Verständnisses der Vorgehensweise, denn das Verstehen der Angriffe erleichtert deren Entdeckung in der Zukunft.

Der Vorteil dieser Systeme besteht darin, das die Leistung der beobachteten Hosts währen des Arbeitstages nicht beeinträchtigt wird, da die Auswertung der Auditdaten in einem Batchprozess erfolgt. Die Verarbeitung der Daten über Nacht ermöglichen genauere, komplexere Analysen und Datenwiederherstellung, Analysen die exakte Rückschlüsse auf sicherheitskritische Situationen zulassen. Somit können Funktionsweise und Attacken verstanden und mit Hilfe der Ereignisse die Wahrscheinlichkeit eines Erfolges zukünftiger Angriffe reduziert werden.

Die nur gering verzögerte Auswertung der Daten verhindert jedoch ein zentrales Eingreifen. IDS (Intrusion Detection Systeme) können nicht unmittelbar auf Eingriffe reagieren und Schaden verhindern. Deshalb ist im Nachhinein lediglich die Begrenzung eines Schadausmaßes möglich.

Intrusion Detection Systems Tools

weitere IDS Tools