WISSEN — ANGRIFFSERKENNUNG

Intrusion Detection / Prevention System (IDS / IPS)

Ein IDS (Intrusion Detection System) erkennt Angriffe anhand bekannter Muster und Signaturen und schlägt Alarm. Ein IPS (Intrusion Prevention System) geht einen Schritt weiter und blockiert erkannten Schadverkehr aktiv. Beide arbeiten überwiegend signaturbasiert — sie erkennen vor allem das, was bereits bekannt ist.

Einfach erklärt

Ein IDS ist wie eine Alarmanlage, die anschlägt, wenn sie ein bekanntes Einbruchsmuster erkennt. Ein IPS ist dieselbe Anlage, die zusätzlich die Tür verriegelt. Ihre Stärke ist die schnelle Reaktion auf Bekanntes — ihre Schwäche ist alles, wofür es noch kein Muster gibt.

Wie es funktioniert

IDS/IPS prüfen Netzwerkverkehr gegen Signaturen bekannter Angriffe. Beim IDS führt ein Treffer zu einer Meldung, beim IPS zusätzlich zum Blockieren. Weil sie auf bekannte Muster angewiesen sind, übersehen sie neuartige oder gezielte Angriffe, die keiner Signatur entsprechen.

Wozu es dient und wo die Grenze liegt

IDS/IPS sind etablierte Bausteine der Netzwerksicherheit, besonders zur Abwehr bekannter Bedrohungen. Die Grenze ist die Signaturabhängigkeit: Was nicht in der Signaturdatenbank steht, wird nicht erkannt. Verhaltensbasierte Ansätze wie NDR ergänzen IDS/IPS, weil sie Auffälligkeiten auch ohne vorherige Signatur erkennen.

Intrusion Detection / Prevention System (IDS / IPS)

Einfach erklärt

Wie es funktioniert

Wozu es dient und wo die Grenze liegt

Verwandte Begriffe