Hybridsensor (IDS)

Ein Hybridsensor im Kontext eines Intrusion Detection Systems (IDS) kombiniert die Funktionen von hostbasierten (HIDS) und netzwerkbasierten (NIDS) Sensoren. Während ein HIDS Zustandsinformationen direkt vom Betriebssystem sammelt – etwa Systemaufrufe, Logfiles und Dateiänderungen – erfasst der NIDS-Komponenten den eingehenden und ausgehenden Netzwerkverkehr. Ein Hybridsensor kann so sowohl verdächtige Prozesse und Veränderungen im Dateisystem erkennen als auch ungewöhnliche Paketmuster im Netzwerk identifizieren. Durch diese Kombination lassen sich komplexe Angriffsvektoren schneller erkennen, da beide Datensichten korreliert werden. Beispielsweise kann ein Angreifer, der versucht, via SSH unbemerkt Zugang zu erlangen, sowohl anhand ungewöhnlicher Login-Versuche auf Host-Ebene als auch ungewöhnlichem Traffic-Profil im Netzwerk detektiert werden. Hybridsensoren erfordern jedoch eine höhere Rechenleistung und eine sorgfältige Kalibrierung, um Fehlalarme zu minimieren.