Vad är IDS?

IDS står för Intrusion Detection System eller på svenska blir det intrångsdetekteringssystem.
Och en IDS är precis vad det säger sig vara, systemet informerar om det är någon som försöker göra ett intrång i systemen.

Olika typer av IDS ?

Det finns 2 huvudtyper av IDS system, och dom fungerar på två helt olika sätt. Om vi börjar med det första IDS, så är det NIDS
NIDS står får Network Intrustion Detection System och är nätverkbaserat IDS. Ett NIDS har sensor utplacerade i nätverket, dessa sensorer rapporterar till huvudservern om attacker uppstår.
HIDS är ett annat Intrustion Detection system, HIDS står för Hostbased Intrusion Detection System på svenska blir det Värdbaserade intrångsdetekteringssystem. HIDS existerar på själva systemen dom övervakare, HIDS övervakar bla loggfiler, processor mm. Hybrid IDS är en blandning mellan NIDS och HIDS.
Honeypots är skenmålsbaserat IDS. Detta system står och låtsas vara ett riktigt system.

Hur IDS ser om det är en attack

• Signaturbaserade detektion – Här jämför IDS mot en signatur databas. I denna signatur databas står det exakt hur olika attacker ser ut mm. Det som händer i nätverket jämförs mot denna databas och stämmer de överens så är det en attack pågång. Detta är det vanligaste sättet samt det ”lättaste” sättet
• Protokollavvikelser – Här kollar man i själva protokollet som används (Tex Telnet, HTTP, SMTP, RPC mm) och ser om det tex kommer för många tecken, tecken på fel ställe, ogiltiga tecken. Detta sätt har en klar fördel mot Signaturbaserade detektion då man kan upptäcka ett intrång långt innan det finns signaturer för en attack.
• Beteendeavvikelser – Här kollar man efter avvikelser från standarden. Om avvikelserna är för stora så kan en attack pågång. Detta är ett väldigt svårt sätt att upptäcka en attack på. Väldigt få IDS har denna funktionen.