Network-Based IDS (Netzwerkbasiertes IDS)

Ein netzwerkbasiertes IDS-System überwacht den Datenverkehr auf seinem Netzwerksegment als Datenquelle. Dies wird im Allgemeinen erreicht, indem die Netzwerkschnittstellenkarte in den promiskuitiven Modus versetzt wird, um den gesamten Netzwerkverkehr, der sein Netzwerksegment durchquert, zu erfassen. Netzwerkverkehr auf anderen Segmenten und Datenverkehr über andere Kommunikationsmittel (wie Telefonleitungen) können nicht überwacht werden. Netzwerkbasierte IDS beinhaltet die Betrachtung der Pakete im Netzwerk, während sie an einem Sensor vorbeigehen. Der Sensor kann nur die Pakete sehen, die zufällig auf dem Netzwerksegment übertragen werden, an dem er angeschlossen ist. Pakete werden als interessant betrachtet, wenn sie einer Signatur entsprechen. Netzwerkbasierte Angriffserkennung überwacht passiv die Netzwerkaktivität auf Anzeichen von Angriffen. Die Netzwerküberwachung bietet mehrere Vorteile gegenüber traditionellen hostbasierten Angriffserkennungssystemen. Da viele Angriffe irgendwann über Netzwerke erfolgen und Netzwerke zunehmend das Ziel von Angriffen werden, sind diese Techniken eine hervorragende Methode, um viele Angriffe zu erkennen, die von hostbasierten Angriffserkennungsmechanismen möglicherweise übersehen werden.