Fraunhofer Institut will mit Projekt ReMIND ein intelligentes IDS schaffen

Selbstlernende Intrusion Detection Systeme in der Entwicklung

28.02.2008 | Autor / Redakteur: Florian Karlstetter / Peter Schmitz

Forscher beim Fraunhofer FIRST arbeiten an der Entwicklung von selbstlernenden Intrusion-Detection-Systemen.
Forscher beim Fraunhofer FIRST arbeiten an der Entwicklung von selbstlernenden Intrusion-Detection-Systemen.

Das Fraunhofer Institut FIRST forscht mit ReMIND an der Entwicklung von selbstlernenden Intrusion Detection-Systemen. Anknüpfend an das Ende 2006 abgeschlossenen Projekts MIND sollen Anomalien im Netzverkehr anhand von Algorithmen erkannt werden – diesmal allerdings in Echtzeit.

ReMIND steht für maschinelles Lernen für Echtzeit-Intrusion-Detection. Die meisten herkömmlichen IDS-Technologien haben den Nachteil, dass diese Signaturen verwenden, um Angriffe zu enttarnen. Diese bieten aber erst dann einen wirksamen Schutz, wenn diese Erkennungsmuster manuell in das System eingepflegt sind – bei der Vielzahl an neuen und unbekannten Schädlingen und Anomalien ein schier unmögliches Unterfangen, zumindest in Echtzeit.

Die Forscher des Fraunhofer Institut Rechnerarchitektur und Softwaretechnik (FIRST) entwickeln seit 2004 Technologien, die diese Schwäche mit Ansätzen des Maschinellen Lernens beheben sollen. Sie befähigen Intrusion-Detection-Systeme, neuartige Angriffe im Netzverkehr ohne Kenntnis der Angriffsmuster selbstständig zu erkennen.

Anomalien anhand semantischer Eigenschaften erkennen

Grundlage für die Entwicklung solcher selbstlernender IDS-Techniken ist, dass Angriffe semantische Eigenschaften besitzen, die sich von denen normaler Daten wesentlich unterscheiden. Im Projekt MIND wurden Algorithmen entwickelt, die solche Anomalien aus dem Netzverkehr herausfiltern können. Die Techniken wurden bis zum Projektabschluss Ende 2006 in einem prototypischen IDS umgesetzt.

Fokus auf Echtzeitfähigkeit

Zentraler Schwerpunkt des 2007 gestarteten Projekts ReMIND ist die Erforschung von Techniken, die notwendig sind, um selbstlernende IDS echtzeitfähig zu machen. Dadurch soll der Einsatz der MIND-Technologie in Kommunikationsnetzwerken mit hohen Datenübertragungsraten ermöglicht werden.

Zu den Hauptzielen des Projekts gehört die Entwicklung von software-technischen Lösungen, mit denen Angriffe in großen Mengen asynchron eintreffender Daten automatisch erkannt und ohne menschliches Eingreifen verhindert werden können.

Progressive Angriffserkennungs-Techniken

Die zu erforschenden Methoden umfassen dabei in erster Linie so genannte progressive Angriffserkennungs-Techniken, die bereits beim Aufbau einer Netzverbindung die eintreffenden Pakete betrachten und mit zunehmender Sicherheit entscheiden, ob die Verbindung Angriffe enthält.

Außerdem werden Möglichkeiten zur automatisierten Ableitung von Signaturen untersucht, mit denen der Wartungsaufwand beim Einsatz von IDS erheblich verringert werden kann. Schließlich werden Techniken erforscht, mit denen die Bedeutung eines erkannten Angriffs bestimmt werden kann, um automatisch geeignete Abwehrmaßnahmen einzuleiten.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2011128 / Intrusion-Detection und -Prevention)