Das Thema Intrusion Detection hat in den letzten 10 Jahren enorm an Wichtigkeit gewonnen. Angesicht der dramatischen Zunahme von Vorfällen (Incidents) und Sicherheitslücken (Vulnerabilities) - bei den Sicherheitslücken ist eine Zunahme um den Faktor 32 in den letzen 10 Jahren zu verzeichnen - ist dies nicht weiter verwunderlich. Daher müssen Wege zur Analyse, Entdeckung und Antizipation von Gefahren und Angriffen und gegebenenfalls auch für die rechtzeitige Einleitung von Gegenmaßnahmen bei Angriffen (Intrusion Response) gefunden werden.
Zur Entdeckung von Angriffen auf Informationssysteme (Intrusion Detection) werden im Allgemeinen zwei grundlegende Vorgehensweisen herangezogen: Anomalie-Erkennung (Anomaly Detection) und Missbrauchserkennung (Misuse Detection).
Bei der Anomalie-Erkennung wird ein Profil der zu überwachenden Größe - beispielsweise der Ressourcen-Nutzung - erstellt (Langzeitverhalten) und mit der aktuellen Realisierung derselben (Kurzzeitverhalten) verglichen. Bei Überschreitung eines vorher festgelegten kritischen Wertes (Schwellwert) wird das gerade eingetretene Ereignis als Anomalie bewertet.
Bei der Missbrauchserkennung wird ein anderer Ansatz verfolgt, es werden angriffsspezifische Signaturen erstellt und in einer Signaturdatenbank gespeichert. Der zu überwachende Datenstrom wird dann systematisch nach diesen schon vorher bekannten, spezifischen Angriffsmustern durchsucht.
Am Lehrgebiet Kommunikationssysteme wurden verschiedene existierende Ansätze auf ihre Wirksamkeit im Hinblick auf die Anomalien-Erkennung systematisch untersucht und neue Ansätze erforscht. Besonders Augenmerk wurde dabei auf den Einsatz statistischer Methoden (Multivariate Analyse) zur Erkennung von Anomalien gerichtet.
Prof. Firoz Kaderali | Druckansicht |