Intrusion Detection    Funktionsweise

• Unternehmen
•    Startseite
•    Meldungen (Archiv)
•    Firmenprofil
•    AGB
•    Menschen
•    Referenzen
•    Partner
• Lösungen
•    Firewall
•    VPN Gateway
•    Proxy Server
•    Linux Server
•    Intrusion Detection
•    Intrusion Prevention
•    Honeypots
•    Cluster
•    Traffic Shaping QoS

• Leistungen
•    Research/Consulting
•    Bestandsaufnahme
•    Netzwerkdesign
•    Analyse/Optimierung
•    Security Auditing
•    Incident Response
•    Wartung & Support
• Sonstiges
•    Kundenlogin
•    Anfahrt
•    Kontakt
•    Sitemap
•    Impressum
• Begriffserklärungen
•    Begriff IDS
•    Arten von IDS
•    Funktionsweise

   07.01.2009 - 02:51 Uhr        

Funktionsweise

Grundsätzlich gibt es zwei Verfahren zur Einbruchserkennung: den Vergleich mit bekannten Angriffssignaturen und die sogenannte statistische Analyse. Die meisten IDS arbeiten mit Filtern und Signaturen, die spezifische Angriffsmuster beschreiben. Der Nachteil dieses Vorgehens ist, dass nur bereits bekannte Angriffe erkannt werden können.

Der komplette Prozess unterteilt sich dabei in drei Schritte. Die Wahrnehmung eines IDS wird durch Sensoren ermöglicht, die Logdaten (HIDS) oder Daten des Netzwerkverkehrs (NIDS) sammeln. Während der Mustererkennung überprüft und verarbeitet das Intrusion Detection System die gesammelten Daten und vergleicht sie mit Signaturen aus der Musterdatenbank. Treffen Ereignisse auf eines der Muster zu, so wird ein "Intrusion Alert" (Einbruchs-Alarm) ausgelöst.

Dieser kann vielfältiger Natur sein. Es kann sich dabei lediglich um eine E-Mail oder SMS handeln, die dem Administrator zugestellt wird oder, je nach Funktionsumfang, eine Sperrung oder Isolierung des vermeintlichen Eindringlings erfolgen.

Andere IDS verwenden heuristische Methoden um auch bisher unbekannte Angriffe zu erkennen. Ziel ist, nicht nur bereits bekannte Angriffe, sondern auch ähnliche Angriffe oder ein Abweichen von einem Normalzustand zu erkennen.

In der Praxis haben signaturbasierte Systeme mit Abstand die größte Verbreitung. Ein Grund dafür ist, dass ihr Verhalten leichter voraussehbar ist. Ein Hauptproblem beim praktischen Einsatz von IDS ist, dass sie entweder viele falsche Warnungen (sog. false positives) generieren oder einige Angriffe nicht entdecken (sog. false negatives).

Anstatt nur einen Alarm auszulösen, wie ein IDS, ist ein Intrusion Prevention System (kurz IPS) in der Lage, Datenpakete zu verwerfen, die Verbindung zu unterbrechen oder die übertragenen Daten zu ändern. Oft wird hierbei eine Anbindung an ein Firewallsystem genutzt, durch das dann bestimmte, durch das IPS definierte Regeln, angewandt werden.

IPS/IDS neuerer Bauart arbeiten oft mit einer Kombination aus Stateful inspection, Pattern Matching und Anomalieerkennung. Damit lassen sich Abweichungen von der im RFC-Standard (Request for Comment) festgelegten Protokollspezifikation erkennen und verhindern.

© 2004-2008 by NetSEC Ohm & Volz GbR  |   D-66424 Homburg  |  Deutschland

  Remote-IP:  38.103.63.56  Port: 58469  VIA:  | ClamAV 0.94.2/8840/Tue Jan 6 21:03:01 2009