Intrusion Detection-Systeme: eine Einführung

Ein IDS kann entweder eine Software- oder Hardware-Lösung sein, die den Zweck hat, unautorisierte Benutzung eines Computersystems oder Netzwerks oder Angriffe darauf festzustellen. Das IDS hält nach unautorisierten Versuchen Ausschau, sich Zugang zu einem System zu verschaffen, zulässige Rechte auf einem autorisierten System zu überschreiten oder die Verfügbarkeit eines Systems zu verringern, sei es von innerhalb der Organisation aus oder über das Internet. Ein IDS ist dabei nur ein einzelnes Element in einer Sicherheitsstrategie aus miteinander verknüpften und sich überlappenden Segmenten.

IDS-Systeme gibt es in einer Vielzahl von Varianten, mit unterschiedlichen Überwachungs- und Analysemethoden für die verfügbaren Daten. IDS-Systeme überwachen Ereignisse auf drei verschiedenen Stufen: Netzwerk, Host und Anwendung. Sie können diese Ereignisse mithilfe zweier Techniken analysieren, durch Erkennen von Signaturen oder von Anomalien. Einige IDS-Systeme verfügen auch über die Fähigkeit, Gegenmaßnahmen bei einer Attacke zu ergreifen, aber hiervon sollte man nur nach reiflicher Vorüberlegung Gebrauch machen und sich vorher juristisch beraten lassen.

Von diesen beiden Erkennungsmethoden wird Signature Detection in kommerziellen IDS-Produkten am häufigsten verwendet. Anomaly Detection ist jünger, aber im Kommen.

Signatur-basierte Erkennung

Signatur-basierte Erkennung achtet auf Aktivitäten, die mit einer festgelegten Zeichenfolge übereinstimmen, welche eindeutig eine bekannte Angriffsmethode beschreibt. Signatur-basierte IDS-Systeme müssen speziell für jede einzelne bekannte Angriffsmethode programmiert werden. Diese Technik ist äußerst effektiv gegenüber bekannten Angriffsmethoden, erfordert aber laufende Aktualisierungen, um auch gegen neuartige Attacken gewappnet zu sein.

Anomalie-basierte Erkennung

Anomalie-basierte IDS-Systeme erkennen einen Eindringling an seinem unüblichen Verhalten im geschützten System oder Netzwerk (Anomalien). Sie beruhen darauf, dass sich das Verhalten von normalen Anwendern von dem von Angreifern unterscheidet und dieses deshalb bis zu einem gewissen Grad entsprechend zugeordnet werden kann. Der ursprüngliche Normalzustand muss zuerst gemessen werden, indem man die Arbeitsmuster und Bandbreite der normalen Benutzung beobachtet. Die Überwachung erfolgt, indem man diese Werte kontinuierlich mit dem aktuellen Datenverkehr vergleicht. Ein generelles Problem von Anomalie-basierten IDS-Systemen besteht darin, dass ein „durchschnittlicher“ Workload fast unmöglich festzustellen ist. Auf der anderen Seite bieten Anomalie-basierte IDS-Systeme die Möglichkeit, bislang unbekannte Attacken zu erkennen. Einige Signatur-basierte IDS-Systeme umfassen auch in begrenztem Umfang Funktionen zur Anomaly Detection, aber nur wenige verlassen sich allein auf diese Technologie.