Een Intrusion Detection System (IDS) is een beveiligingssysteem dat afwijkende patronen in toegang tot digitale informatiesystemen of netwerken signaleert. IDS systemen worden gepositioneerd als detectieve maatregelen.

Preventieve maatregelen worden getroffen om relevante dreigingen het hoofd te bieden. Een firewall voorkomt ongeautoriseerde toegang tot een netwerk en is een preventieve maatregel.

Detectieve maatregelen zorgen voor herkenning van een mogelijke bedreiging van de bestaande operationele systemen. Een audit is een voorbeeld van een detectieve maatregel. Ook een IDS is een detectieve maatregel.

Vervolgens moeten er nog procedures aanwezig zijn die erop gericht zijn de vervolgschade te kunnen beperken en de normale situatie te herstellen. Deze repressie- en herstelmaatregelen worden in gang gezet door detectie van een incident. Een vroege detectie, gevolgd door een doeltreffende reactie kan veel schade voorkomen. Het doel is de tijd tussen het begin van een incident en het moment van ingrijpen zodanig te verkorten dat schade kan worden voorkomen. Ten slotte zal op basis van een evaluatie bepaald moeten worden hoe het incident heeft kunnen plaatsvinden en welke maatregelen eventueel aangepast moeten worden.

Een IDS maakt onderdeel uit van een gehele keten van beveiligingsmaatregelen. De effectiviteit van de keten wordt sterker als het is gekoppeld aan effectieve respons. De maatregelen liggen niet alleen op technisch vlak en daarom is het noodzakelijk om ook de organisatorische inbedding van een IDS te realiseren.

Het doel waarom een IDS wordt ingezet bepaalt onder andere de complexiteit van een IDS, waar een IDS wordt geïmplementeerd en hoe de (beheer)organisatie rondom een IDS er uit ziet.

Statistische informatie

Vaak wordt een IDS ingezet voor het verkrijgen van statistische informatie. Denk hierbij bijvoorbeeld aan rapportages over het aantal gedetecteerde inbraakpogingen. Hierbij kan de vraag gesteld worden of deze informatie echt relevant is voor de organisatie of dat het bedoeld is scare tactic richting het management. Ook worden deze rapportages veelal gebruikt om de effectiviteit van beveiligingsmaatregelen te bepalen. Dit soort rapportages is vaak elders in de organisatie al beschikbaar in de vorm van logginginformatie.

Detectie

Behalve het verzamelen van informatie over wat er speelt op de IT-infrastructuur is een ander doel van IDS de reactietijd bij een incident te versnellen. Als een inbraak pas bij wekelijkse controle van de logfiles wordt gesignaleerd kan er al veel schade berokkend zijn. Ook kunnen wormbesmettingen soms vroegtijdig ontdekt worden door een toename van poortscans op het netwerk. Door een snelle analyse en reactie kan een grootschalige uitbraak en hiermee afname van beschikbaarheid van systemen worden voorkomen.

Analyse

Informatie uit een IDS kan worden toegepast om de toedracht van een incident achteraf te reconstrueren. Deze informatie is vaak gedetailleerd en relevant, mits de IDS-sen goed geplaatst en geconfigureerd zijn. Als dit het enige doel van de IDS is, is het goed na te gaan of dezelfde informatie niet al gelogd wordt op andere plaatsen in het systeem zoals bijvoorbeeld een firewall log.