Missbrauchserkennung Techniken, Analyse, Intrusion Detection Systeme

Missbrauchserkennung Techniken, Analyse, Intrusion Detection Systeme

Was ist Missbrauchserkennung bei Intrusion Detection Systemen?

Unter Missbrauchserkennung versteht man die Erkennung von Angriffen mittels vorgefertigter Muster oder Signaturen. Die Muster oder Signaturen sind normalerweise auf jedem zu scannenden Host installiert und werden ständig mit dem Netzwerkverkehr abgeglichen. Sollte ein Muster oder eine Signatur mit dem aktuellen Netzwerkverkehr übereinstimmen, wird das Ereignis festgehalten und weitere Schritte können eingeleitet werden. Nachfolgend werden die Schritte für den Aufbau einer Analyse-Engine näher beschrieben.

Missbrauchserkennung Techniken

Die einzelnen hier vorgestellten Techniken der Missbrauchserkennung sind:

Analyse-Engine Aufbau, Funktion

Die Analyse Engine, bei der Missbrauchserkennung, dient der Erkennung von Angriffen und besteht aus verschiedenen Komponenten. Die unterschiedlichen Komponenten können die Angriffe erkennen und auffällige Pakete aufzeichnen. Die einzelnen Schritte beim Aufbau einer Analyse-Engine sind die Informationssammlung, das Aufbereiten der gesammelten Informationen, die Einordnung der Informationen in Klassen und das darauf folgende Bereitstellen von Informationen. Die Analyse-Engine muss auf die Systemumgebung angepasst werden.

Informationssammlung und Ereignisse

Der erste Schritt beim Aufbau einer Analyse-Engine ist es Informationen und Ereignisse über Einbruchsversuche zu sammeln. Dies schließt die Schwachstellen, Angriffe, Angriffswerkzeuge und je nachdem spezielle Interessen mit ein.

Aufbereiten der Informationen (Preprocessing)

Beim Aufbereiten werden die speziellen Informationen und Ereignisse in eine allgemeine Form gebracht. Die Auffälligkeiten der Angriffe werden in Signaturen oder Regeln übersetzt. Im Falle von netzwerkbasierten ID-Systemen werden die Pakete zwischengespeichert und TCP-Verbindungen können rekonstruiert werden.

Klassifizierung der Informationen bei der Missbrauchserkennung

Bei der Missbrauchserkennung wird die Klassifizierung nach Mustern und Regeln vorgenommen. Die Muster und Regeln können atomar oder mehrteilig aufgebaut sein. Die Erkennung eines Angriffs der atomar ist, wäre z.B. ein Vergleichstest von Paketinhalt und Paketheader. Angriffe, die über mehrere Schritte ausgeführt werden, bedürfen eines Musters oder Regel, welche mehrteilig aufgebaut ist.

Signaturen und Muster bereitstellen

Nachdem die Muster und Regeln klassifiziert wurden müssen sie auf den Hosts bereitgestellt werden, damit der Netzwerkverkehr bzw. die Log-Dateien mit den Signaturen und Mustern abgeglichen werden können. Meist gibt es dafür eine Knowledge Base, in denen die Regeln und Signaturen gespeichert werden.