Intrusion Detection
Erkennungsmethoden von Angriffen
Quelle: Stephan Augsten: "Einführung in die IDS-Erkennung und Analyse von Netzwerkattacken
Signatur basiert - Pattern Matching
- Suche bestimmter Muster in Paketen (z.B. Assembler Code, bekannte Expoits)
Können "Signaturen" nicht verschieden gesehen werden ?
- Muster in Netzwerkpaketen
- Muster von Ereignisfolgen
Protocol basiert : Priüfung der Protokollkonformität
Ein Protokoll wird überprüft und fehlerhafte Abläufe gemeldet.
Anormalie Erkennung
- Bei Hostbasierten Systemen gelten Regeln wie "Logfiles werden nie kleiner",
"die /etc/passwd-Datei wird nicht geändert"
- Speicherbedarf und CPU-Last
- Zugriffe auf Dateien, Socketzugriffe von Prozessen
- Analyse der Verkehrsbeziehungen zwischen den Netzwerkteilnehmern kann anomarlien zu tage bringen, z.B. wenn ein Client-Rechner auf einmal auf andere Clients zugreift
Informatik- und Netzwerkverein Ravensburg e.V
Rudolf Weber