Einführung

Als Angriffserkennung (Intrusion Detection) wird die aktive Überwachung von Computersystem und/oder Rechnernetzen unter dem Aspekt der Erkennung von Angriffen und Missbrauch, bezeichnet. Das Ziel von Intrusion Detection besteht darin, aus allen im Überwachungsbereich stattfindenden Ereignissen diejenigen herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten, um diese anschließend vertieft zu untersuchen. Ereignisse sollen dabei zeitnah erkannt und gemeldet werden.

Der Prozess aus Ereigniserkennung, Analyse, Alarmierung und Dokumentation wird dem Intrusion Detection zugeordnet. Ein Angriffserkennungssystem (Intrusion Detection System, IDS) unterstützt den kompletten Prozess und ermöglicht dadurch Sicherheitsverletzungen automatisch und möglichst frühzeitig zu erkennen und zu melden.

Einordnung der Angriffserkennung im Kontext der IT-Sicherheitsmechanismen

Um Computersysteme vor Angriffen zu schützen, können die Mechanismen und Methoden, die zum Einsatz kommen, grob in präventive– und reaktive Verfahren klassifiziert werden.

Klassische Schutzmechanismen wie Firewalls, Verschlüsselungsverfahren oder Zugangskontrollsysteme arbeiten präventiv. Diese realisieren Maßnahmen, die eine Manipulation von Ressourcen vorbeugen sollen.

Der Einsatz präventiver Mechanismen stößt an seine Grenzen, wenn bsp. authorisierte Nutzer missbräuchliche Aktionen ausüben oder Nutzer sich aufgrund Sicherheitslücken unberechtigten Zugang zu Systemen verschaffen. Das Ziel reaktiver Maßnahmen ist daher, die Begrenzung und Beseitigung von verursachten Schäden, sowie die Identifikation verantwortlicher Akteure.

Architekturen und Komponenten von Intrusion Detection Systemen

Ziel von Intrusion Detection Systemen ist die frühzeitige Erkennung von Angriffen auf Computersystemen- oder Netzen zur Minimierung des Schadens und Identifizierung des Angreifers. Zudem können IDS durch Sammeln von Informationen über Abläufe von Ereignissen, Aufschluss über neue Angriffstechniken geben und damit zur Verbesserung präventiver Maßnahmen beisteuern.

Das Common Intrusion Detection Frameworks (CIDF) ist ein von der DARPA unterstütztes Projekt mit dem Versuch einer Standardisierung der IDS Komponenten. Nach dem CIDF besteht ein IDS aus vier Arten von Komponenten:

  • Ereigniskomponenten
    Zur Bereitstellung von Informationen über das zu schützende System. Üblicherweise werden Host- und Netzwerksensoren unterschieden, die z.B. das Betriebsystem oder den Netzwerkverkehr an bestimmten Punkten überwachen.
  • Analysekomponenten
    Dienen der Erkennung und analysieren dazu die gesammelten Informationen durch die Ereigniskomponenten.
  • Datenbankkomponenten
    Speichern der gesammelten Informationen für die Analyse sowie von Zwischenergebnissen.
  • Reaktionskomponente
    Führt Gegenmaßnahmen durch.

Verfahren zur Angriffserkennung

Die aktuellen Verfahren zur Angriffserkennung, nachdem das IDS bzw. die Analysekomponente arbeitet, lassen sich in Anomalieerkennung und Missbrauchserkennung unterteilen.

Die Anomalieerkennung basiert auf der expliziten Definition von normalen Verhalten und erkennen Abweichungen von dieser Norm. Anomalien weisen auf mögliche Angriffe hin. Die Herausforderung in diesem Verfahren ist, Anomalieen richtig zu deuten und zu klassifizieren, wann eine Anomalie tatsächlich als Sicherheitsverletzung zu behandeln ist.

Das Verfahren der Missbrauchserkennung oder als Signaturanalyse bezeichnet, arbeitet nach umgekehrten Prinzip und sucht nach konkreten Sicherheitsverletzungen. Dazu werden definierte Angriffsmuster in Form von Signaturen verwendet. Diese reichen dabei von einfacher Zeichenerkennung in Daten (pattern matching) bis hin zu komplexen Verhaltensmustern (pattern mining). Dadurch können z.b. fehlerhafte Verhaltensweisen wie z.B. drei Login-Fehlversuche innerhalb von 5 Minuten, erkannt werden. Während der Analyse werden die gesammelten Informationen bzw. Ereignisse auf Übereinstimmung mit den Signaturen untersucht und im Erfolgsfall als Sicherheitsverletzung gemeldet. Das Verfahren erlaubt somit nur die Erkennung von bekannten Angriffsmethoden.