Suchen

Netzwerk-Grundlagen – Angriffserkennung, Teil 2 Einführung in die IDS-Erkennung und Analyse von Netzwerk-Attacken

| Autor / Redakteur: Markus Nispel / Stephan Augsten

Ob Denial of Service, Cross Site Scripting oder Buffer Overflows: Intrusion-Detection- und -Prevention-Systeme sind in der Lage, die im ersten Teil dieser Reihe genannten Angriffsschemata zu erkennen und entsprechend zu reagieren. In diesem Artikel befassen wir und mit den technischen Grundlagen der Angriffserkennung.

Firmen zum Thema

Intrusion-Detection-Systeme erkennen Angriffe anhand verschiedener Merkmale.
Intrusion-Detection-Systeme erkennen Angriffe anhand verschiedener Merkmale.
( Archiv: Vogel Business Media )

Wie im ersten Teil der Netzwerk-Gundlagen zur Angriffserkennung beschrieben, gibt es für die verschiedenen Angriffe verschiedene Erkennungstechnologien. Vorab kann also festgehalten werden, dass der bestmögliche Schutz nur dann gegeben ist, wenn das eingesetzte Intrusion Detection System (IDS) alle verfügbaren Erkennungstechnologien vereint.

Erst dann ist das IDS dazu in der Lage, die jeweils beste Technologie zur Erkennung und Prävention einzusetzen. Grundsätzlich kann zwischen folgenden Erkennungstechnologien unterschieden werden:

Behavior Based Anomaly Detection

  • Die Analyse von Verkehrsbeziehungen mittels Daten aus den Netzwerkkomponenten, zum Beispiel via Netflow, Sflow, RMON mit dedizierten Probes oder auch mittels komponentenspezifischer Traps.
  • Bei hostbasierten Systemen ist hierunter meist die Analyse der System Calls zu verstehen, um „ungültige“ Calls später heraus zu filtern oder die Analyse von CPULast und Memory pro Applikation etc.

Anomaly Detection

  • Die Paketanalyse auf bestimmte Muster hin (bestimmte TCP Flag Kombinationen gesetzt, etc.).
  • Bei Host Sensoren kann man hierunter die Überwachung von Files auf dem System verstehen („Logfiles werden nie kleiner“ oder „/etc/passwd“ wird normalerweise nicht geändert).

Protocol based – Protocol Conformance Analysis und Decoding

  • Die Decodierung von Protokollen und Überprüfung der Konformität im Hinblick auf Standards.

Signature based – Pattern Matching

  • Die Analyse des Paketinhaltes in Hinblick auf verdächtige Kombinationen (Verwendung von bekannten Exploits, Aufruf von ungültigen URLs, etc.).
  • Bei Host-Sensoren versteht man darunter zum Beispiel die Analyse von Logdateien.

Inhalt

  • Seite 1: Grundlagen IDS-Erkennung
  • Seite 2: Verhaltensanalyse und Anomalienerkennung
  • Seite 3: Hostbasierte versus netzwerkbasierte Erkennung

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 2046856)