Grundlagen: Überwachungssysteme in Netzwerken

Wie wird ein Angreifer erkannt?

Ziel der Intrusion-Detection-Systeme ist es, Angriffe zu erkennen und Alarm zu schlagen. Um einen Angriff zu erkennen, müssen die geschnüffelten Daten analysiert werden. Es gibt zwei verschiedene Arten, Angriffe zu entdecken: Missbrauchs- und Anomalieerkennung.

Keine Chance: Unter Umständen lässt die Firewall einen Angreifer durch, weil genau dieser Datenstrom freigegeben ist, das IDS liest aber in jedem einzelnen Paket und kann so einen Angriff dennoch abwehren.
Keine Chance: Unter Umständen lässt die Firewall einen Angreifer durch, weil genau dieser Datenstrom freigegeben ist, das IDS liest aber in jedem einzelnen Paket und kann so einen Angriff dennoch abwehren.

Eine „beste Erkennungsmethode“ gibt es nicht, Sinn macht erst die Kombination der beiden Methoden. NIDS und NNIDS forschen meist nach Missbrauch und verbinden hier die Protokollanalyse mit Pattern Matching und Anomalieerkennung. Host-basierende IDS setzen vor allem auf Anomalieerkennung, sind aber in ihrer Leistung eingeschränkt, da immer definiert sein muss, was normal ist und was nicht.