Korrelation, Quelladressenkorrelation, Zieladressenkorrelation, Paketsignaturkorrelation

Korrelation, Quelladressenkorrelation, Zieladressenkorrelation, Paketsignaturkorrelation

Was ist die Korrelation bei Intrusion Detection?

Die Korrelation stellt die Beziehung zwischen aufgezeichneten Daten und aktuellen Daten des Netzwerkverkehrs her. Das Ziel der Korrelation bei Intrusion Detection Systemen ist die Erstellung von Suchschlüsseln zur Erkennung von Angriffen. Dabei unterscheidet man nach Quelladressenkorrelation, Zieladressenkorrelation und Paketsignaturkorrelation.

Quelladressenkorrelation

Bei der Quelladressenkorrelation werden die Quelladressen, also diejenigen IP-Adressen die den Kontakt zu unseren Servern aufnehmen, aufgezeichnet und mit bereits vorhandenen auffälligen Quelladressen verglichen. Das Resultat dieser Überwachung ermöglicht dem Analysten das Erkennen von Scans die gegen das Netzwerk gerichtet sind. Mit der Quelladressenkorrelation können auch verschiedene Adressen gebündelt und überwacht werden, um festzustellen ob ein Angriff von verschiedenen Hosts ausgeht.

Zieladressenkorrelation

Normalerweise sollte die Zieladresse eines Hosts nicht so oft angesprochen werden wie die Zieladresse eines Servers. Da ein Host normalerweise keine Dienste anbietet sondern anfordert, könnte man davon ausgehen das ein Host der trotzdem oft angesprochen wird, kompromittiert wurde. Ein typisches Beispiel wäre eine Trojanersoftware auf dem Zielsystem, die von beliebig vielen Internetbenutzern angesprochen wird. Durch die Zieladressenkorrelation würde festgestellt werden, ob und wie oft der Zielhost innerhalb einer bestimmten Zeitspanne angesprochen wird. Ein Analyst kann nach Auswertung der Daten die jeweilig in Frage kommenden Hosts kontrollieren und den Schädling beseitigen.

Paketsignaturkorrelation

Die Paketsignaturkorrelation dient der Erkennung von Angriffsvorgehensweisen, die keyboardbasiert, also manuell eingeben werden, oder scriptbasiert sind. Dabei wird nach typischen Vorgehensweisen gesucht und diese mit vorgefertigten Signaturen des ID-Systems verglichen. Zwischen keyboardbasierten und scriptbasierten Angriffen kann leicht unterschieden werden, indem die Zeiten zwischen den einzelnen Teilschritten eines Angriffs überprüft werden. Sollten die Zeiten im Sekundentakt oder noch schneller sein, kann davon ausgegangen werden, dass es sich um einen scriptbasierten Angriff handelt. Bei keyboardbasierten Angriffen werden die Zeiten zwischen den einzelnen Teilschritte wesentlich länger sein (mehrere Sekunden bis Minuten), da der Angreifer die einzelnen Teilschritte manuell eingeben muss.