Grundlagen: Überwachungssysteme in Netzwerken
Wie wird ein Angreifer erkannt?
Ziel der Intrusion-Detection-Systeme ist es, Angriffe zu erkennen und Alarm zu schlagen. Um einen Angriff zu erkennen, müssen die geschnüffelten Daten analysiert werden. Es gibt zwei verschiedene Arten, Angriffe zu entdecken: Missbrauchs- und Anomalieerkennung.
Eine „beste Erkennungsmethode“ gibt es nicht, Sinn macht erst die Kombination der beiden Methoden. NIDS und NNIDS forschen meist nach Missbrauch und verbinden hier die Protokollanalyse mit Pattern Matching und Anomalieerkennung. Host-basierende IDS setzen vor allem auf Anomalieerkennung, sind aber in ihrer Leistung eingeschränkt, da immer definiert sein muss, was normal ist und was nicht.