Grundlagen: Überwachungssysteme in Netzwerken

Suche nach Anomalien

Eine weitere Möglichkeit, das Netzwerk nach Störenfrieden abzusuchen, ist die Anomalieerkennung. Dabei versucht das System Abweichungen vom Normalbetrieb zu erkennen. Die Schnüffler im Netz oder auf den Hosts halten Ausschau nach atypischen Verhaltensweisen des zu überwachenden Systemabschnitts. Um das System auf solche Ungereimtheiten zu untersuchen, muss zunächst einmal definiert sein, was „Normalzustand“ bedeutet. Was normales Verhalten ist und was nicht, lässt sich über logische oder statistische Ansätze festlegen.

Bei einer Anomalieerkennung mit Hilfe statistischer Daten geht das System davon aus, dass das Netzwerk im Falle eines Angriffs stark von den statistischen Kennzahlen des Netzes abweicht (zum Beispiel Datenaufkommen und Art der Pakete, Zahl der Anmeldeversuche). Das Normalverhalten eines Netzes wird in einer „roten Liste“ hinterlegt. Diese Liste kann verschiedene Angaben enthalten: Datenverkehr entsprechend der Tageszeit, CPU-Auslastungen, Zugriffsdauer, Nutzungshäufigkeit. Diese Mittelwerte samt Toleranzgrenzen sind auf dem System hinterlegt. Anomalie auf statistischer Basis kann nur als ergänzendes Erkennungsverfahren gelten, da Angriffe sehr wohl in einer normalen Umgebung stattfinden können und dann nicht als abnormal erkannt werden. Die Statistik hinterfragt allerdings nicht die zeitliche Abfolge der einzelnen Ereignisse. Unregelmäßigkeiten in dieser Abfolge könnten jedoch auch auf einen Angriff hinweisen.

Deshalb berücksichtigt eine programmierbare Logik auch die zeitliche Abfolge von Ereignissen. Auch hier ist das Normalverhalten in Regeln zusammengefasst. Wenn Angriffe also eine bestimmte Ereignisfolge bedingen, die nicht als Normalzustand des Netzes definiert sind, erkennen IDS diese Ereignisse als Anomalie.