Host Intrusion Detection Systems en Network Intrusion Detection Systems, of HIDs en NIDs, zijn computer netwerk beveiligingssystemen die worden gebruikt om te beschermen tegen virussen, spyware, malware en andere schadelijke bestandstypen. Het verschil is dat HIDs worden alleen geïnstalleerd op bepaalde snijpunten, zoals servers en routers, terwijl NIDs op elke host machine zijn geïnstalleerd.
Doel
Als gevolg van de snelle toename van netwerkaanvallen, HIDs en NIDs geworden alledaags. Terwijl firewalls en anti-malware suites prima voor afzonderlijke computers zijn, missen zij de intelligentie die nodig zijn om te verdedigen van een bedrijfsnetwerk. Als voorbeeld, HIDs en NIDs verzamelen informatie van een netwerk en vergelijken van deze informatie aan vooraf gedefinieerde patronen om aanvallen en kwetsbaarheden te ontdekken. Ook maken ze normaal-gedrag databases.
Kerntaken
HIDs onderzoeken specifieke host gebaseerde acties, zoals welke toepassingen worden gebruikt, welke bestanden worden gebruikt en welke gegevens worden opgeslagen in de logboeken van de kernel. NIDs analyseren de uitwisseling van informatie tussen computers, dat wil zeggen, netwerkverkeer. Zij in wezen ruiken"" het netwerk voor verdacht gedrag. Dus, NIDs kunnen detecteren een hacker voordat hij staat om een ongeoorloofde inbraak, is terwijl HIDs niet dat iets verkeerd is weet, totdat de hacker al het systeem heeft geschonden.
HIDs voordelen
Hoewel HIDs een slechte oplossing op het eerste lijkt misschien, hebben ze verschillende voordelen. Voor een, kunnen ze verhinderen aanvallen wat resulteert in schade. Bijvoorbeeld, als een schadelijk bestand probeert te herschrijven van een bestand, kan de HID afgesneden haar privileges en het in quarantaine plaatsen. HIDs kun laptops beschermd wanneer zij uit een netwerk en in het veld genomen bent. Uiteindelijk zijn HIDs een "laatste lijn van verdediging" hulpprogramma voor het afweren van aanvallen door de NID gemist.
NIDs voordelen
Waar NIDs excel is hun vermogen om te beschermen honderden computersystemen vanaf een netwerklocatie. Dit maakt een NID minder duur--en niet te vergeten eenvoudiger te implementeren. NIDs bieden ook een breder onderzoek van een bedrijfsnetwerk via scans en sondes. Belangrijker, NIDs kunnen beheerders te beschermen niet-computer-apparaten, zoals routers, firewalls, afdrukservers en VPN-concentrators. Extra voordelen zijn onder meer flexibiliteit met meerdere besturingssystemen en apparaten, en bescherming tegen overstromingen van de bandbreedte en DoS aanvallen.
Optimale oplossing
In het ideale geval moet een bedrijfsnetwerk beschikken over zowel een HID en een NID. De voormalige zal beschermen lokale machines en fungeren als een laatste lijn van verdediging, terwijl de NID de feitelijke netwerk en veilig houden zal. Beide zijn staat meer beveiliging dan één firewall of anti-virus suite, maar elk mist bepaalde mogelijkheden die de andere bevat. Het combineren van de twee is dus de enige manier om een echt robuuste defensieve netwerk te creëren.