Erkennungsmethoden von Angriffen

Quelle: Stephan Augsten: "Einführung in die IDS-Erkennung und Analyse von Netzwerkattacken

Signatur basiert - Pattern Matching

• Suche bestimmter Muster in Paketen (z.B. Assembler Code, bekannte Expoits)

• Muster in Netzwerkpaketen
• Muster von Ereignisfolgen

Protocol basiert : Priüfung der Protokollkonformität

Ein Protokoll wird überprüft und fehlerhafte Abläufe gemeldet.

Anormalie Erkennung

• Bei Hostbasierten Systemen gelten Regeln wie "Logfiles werden nie kleiner", "die /etc/passwd-Datei wird nicht geändert"
• Speicherbedarf und CPU-Last
• Zugriffe auf Dateien, Socketzugriffe von Prozessen
• Analyse der Verkehrsbeziehungen zwischen den Netzwerkteilnehmern kann anomarlien zu tage bringen, z.B. wenn ein Client-Rechner auf einmal auf andere Clients zugreift