Durch Überprüfung des Netzdatenstromes und der Auditsysteme und dem Vergleich mit
bekannten Mustern von Angriffsszenarien kann ein Intrusion Detection System mögliche Angriffe
und ungewöhnliche Aktivitäten erkennen. Als Grundlage für Muster dient unter anderem das Wissen
um sicherheitsrelevante Fehler in Programmen.
Ein Intrusion Detection System muss zu Ihrem Netzwerk passen
Bei der Entwicklung des Einsatzszenarios bilden die vorhandene Netzwerktopologie sowie die verwendeten Dienste und Anwendungen die Ausgangsbasis. Netzwerk- und Host-Sensoren überwachen die Netzaktivitäten und Ereignisse auf den Rechnern und liefern Informationen über Angriffsignaturen an das zentrale Management. Dieses wertet die Informationen der verschiedenen Sensoren aus und gleicht sie ab, um definierte Alarm-Reaktionen auszulösen - beispielsweise die Benachrichtigung per E-Mail oder das Aussenden von SNMP-Traps bis hin zur Sperrung von Benutzer-Accounts.
