Grundlagen: Überwachungssysteme in Netzwerken

Erkennen von Missbrauch

Die Missbrauchserkennung beruht auf bekannten Angriffsmustern. Über ein sogenanntes Pattern Matching (Bitmuster/Abgleich) untersucht das IDS den Datenstrom auf bekannte (Angriffs-)Bitmuster und vergleicht die gesammelten Daten laufend mit einer Datenbank.

Dadurch ist der Rechenaufwand beim Pattern Matching groß. Wenn das Netzwerk ohnehin stark ausgelastet ist, ist ein solcher Abgleich aller Datenpakete mit den Datenbanken kaum möglich. Es ist also ratsam, sich bereits vor der Installation eines IDS genau zu überlegen, wie sich das Netz am besten segmentieren lässt. So lassen sich Flaschenhälse durch ein NIDS bereits im Vorfeld verhindern.

Alternative: Protokollanalyse

Eine andere Möglichkeit, Angreifern auf die Schliche zu kommen, ist die Protokollanalyse. Ein sogenanntes „Normalverhalten“ im Netzwerk ist in den Protokollspezifikationen hinterlegt. IDS untersucht die Daten in den Datenpaketen mit Hilfe vorliegender Protokollinformationen und entscheidet, ob der Datenverkehr die Protokollspezifikationen erfüllt. Im Vergleich zum Pattern Matching ist der Rechenaufwand deutlich geringer.