Netzwerk-Grundlagen – Angriffserkennung, Teil 2

Einführung in die IDS-Erkennung und Analyse von Netzwerk-Attacken

31.08.2010 | Autor / Redakteur: Markus Nispel / Stephan Augsten

Intrusion-Detection-Systeme erkennen Angriffe anhand verschiedener Merkmale.
Intrusion-Detection-Systeme erkennen Angriffe anhand verschiedener Merkmale.

Ob Denial of Service, Cross Site Scripting oder Buffer Overflows: Intrusion-Detection- und -Prevention-Systeme sind in der Lage, die im ersten Teil dieser Reihe genannten Angriffsschemata zu erkennen und entsprechend zu reagieren. In diesem Artikel befassen wir und mit den technischen Grundlagen der Angriffserkennung.

Wie im ersten Teil der Netzwerk-Gundlagen zur Angriffserkennung beschrieben, gibt es für die verschiedenen Angriffe verschiedene Erkennungstechnologien. Vorab kann also festgehalten werden, dass der bestmögliche Schutz nur dann gegeben ist, wenn das eingesetzte Intrusion Detection System (IDS) alle verfügbaren Erkennungstechnologien vereint.

Erst dann ist das IDS dazu in der Lage, die jeweils beste Technologie zur Erkennung und Prävention einzusetzen. Grundsätzlich kann zwischen folgenden Erkennungstechnologien unterschieden werden:

Behavior Based Anomaly Detection

  • Die Analyse von Verkehrsbeziehungen mittels Daten aus den Netzwerkkomponenten, zum Beispiel via Netflow, Sflow, RMON mit dedizierten Probes oder auch mittels komponentenspezifischer Traps.
  • Bei hostbasierten Systemen ist hierunter meist die Analyse der System Calls zu verstehen, um „ungültige“ Calls später heraus zu filtern oder die Analyse von CPU Last und Memory pro Applikation etc.

Anomaly Detection

  • Die Paketanalyse auf bestimmte Muster hin (bestimmte TCP Flag Kombinationen gesetzt, etc.).
  • Bei Host Sensoren kann man hierunter die Überwachung von Files auf dem System verstehen („Logfiles werden nie kleiner“ oder „/etc/passwd“ wird normalerweise nicht geändert).

Protocol based – Protocol Conformance Analysis und Decoding

  • Die Decodierung von Protokollen und Überprüfung der Konformität im Hinblick auf Standards.

Signature based – Pattern Matching

  • Die Analyse des Paketinhaltes in Hinblick auf verdächtige Kombinationen (Verwendung von bekannten Exploits, Aufruf von ungültigen URLs, etc.).
  • Bei Host-Sensoren versteht man darunter zum Beispiel die Analyse von Logdateien.

Inhalt

 

Über Enterasys Networks

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2046856 / Intrusion-Detection und -Prevention)