Grundlagen

Überwachungssysteme in Netzwerken

20.12.2006
Von Andreas Wurm

Alternative: Protokollanalyse

Eine andere Möglichkeit, Angreifern auf die Schliche zu kommen, ist die Protokollanalyse. Ein sogenanntes „Normalverhalten“ im Netzwerk ist in den Protokollspezifikationen hinterlegt. IDS untersucht die Daten in den Datenpaketen mit Hilfe vorliegender Protokollinformationen und entscheidet, ob der Datenverkehr die Protokollspezifikationen erfüllt. Im Vergleich zum Pattern Matching ist der Rechenaufwand deutlich geringer.

Voraussetzungen

Unabhängig von beiden Methoden stellt die Missbrauchserkennung allerdings einige Anforderungen: Ein Angriff lässt sich nur erkennen, wenn er schon als Angriff bekannt und in der Signaturdatenbank hinterlegt ist. Des Weiteren muss diese bekannte Angriffssignatur dem IDS zugänglich gemacht werden, damit dieses die eingehenden Datenpakete vergleichen kann. Eine Signaturdatenbank ist daher immer ein zentraler Bestandteil des IDS.

Um eingehende Daten als gefährlich zu erkennen, müssen sie analysiert werden. Datenpakete werden aber mitunter in kleine Segmente zerlegt und ohne eine bestimmte Reihenfolge über das Netzwerk versendet. Sie schlagen also unter Umständen durcheinander und nicht hintereinander auf dem IDS auf. Das IDS muss die Datenpakete erst wieder in die richtige Reihenfolge bringen und die einzelnen Teile zusammensetzen, um die Nutzdaten vollständig überprüfen und abgleichen zu können.

Suche nach Anomalien

Eine weitere Möglichkeit, das Netzwerk nach Störenfrieden abzusuchen, ist die Anomalieerkennung. Dabei versucht das System Abweichungen vom Normalbetrieb zu erkennen. Die Schnüffler im Netz oder auf den Hosts halten Ausschau nach atypischen Verhaltensweisen des zu überwachenden Systemabschnitts. Um das System auf solche Ungereimtheiten zu untersuchen, muss zunächst einmal definiert sein, was „Normalzustand“ bedeutet. Was normales Verhalten ist und was nicht, lässt sich über logische oder statistische Ansätze festlegen.

Bei einer Anomalieerkennung mit Hilfe statistischer Daten geht das System davon aus, dass das Netzwerk im Falle eines Angriffs stark von den statistischen Kennzahlen des Netzes abweicht (zum Beispiel Datenaufkommen und Art der Pakete, Zahl der Anmeldeversuche). Das Normalverhalten eines Netzes wird in einer „roten Liste“ hinterlegt. Diese Liste kann verschiedene Angaben enthalten: Datenverkehr entsprechend der Tageszeit, CPU-Auslastungen, Zugriffsdauer, Nutzungshäufigkeit. Diese Mittelwerte samt Toleranzgrenzen sind auf dem System hinterlegt. Anomalie auf statistischer Basis kann nur als ergänzendes Erkennungsverfahren gelten, da Angriffe sehr wohl in einer normalen Umgebung stattfinden können und dann nicht als abnormal erkannt werden. Die Statistik hinterfragt allerdings nicht die zeitliche Abfolge der einzelnen Ereignisse. Unregelmäßigkeiten in dieser Abfolge könnten jedoch auch auf einen Angriff hinweisen.

Zur Startseite