Normaler und abnormaler Netzwerkverkehr
Ob Netzwerkverkehr normal oder abnormal ist, ist schwer festzustellen und kann nur mittels der festgeschriebenen Verhaltensweise von Protokollen erklärt werden. Daraus ergibt sich unmittelbar der abnormale Netzwerkverkehr, denn alles was nicht durch die RFC´s (Requests for Comments) beschrieben wird, sollte auch nicht im Funktionsumfang der Protokolle sein. Stephen Northcutt und Judy Novak benennen in Ihrem Buch IDS: Intrusion Detection Systeme – Spurensuche im Internet die wichtigsten RFC´s und bieten Beispiele um normalen und abnormalen Netzwerkverkehr zu erkennen. Hier noch die wichtigsten RFCs:
- RFC 793 [Transmission Control Protocol (TCP)]
- RFC 768 [User Datagram Protocol (UDP)]
- RFC 791 [Internet Protocol (IP)]
- RFC 792 [Internet Control Message Protocol (ICMP)]
Alle Informationen über RFC´s und insbesondere Update-Hinweise zu RFCs findet man unter www.rfc-editor.org .
Falsche Positive und falsche Negative Bedeutung
Unmittelbar mit normalem und abnormalem Netzwerkverkehr hängen die falschen Positive und falschen Negative zusammen. Folgend werden die jeweiligen Definitionen gegeben:
Falsche Positive
Ein falscher Positiver entsteht, wenn normaler Netzwerkverkehr als Angriff interpretiert wird. Ist das ID-System falsch konfiguriert oder die Prüfung durch Signaturen ungenau, wird es jede Menge falsche Positive geben. Hier besteht vor allem die Gefahr, dass die Analysten nachlässig werden, da sie mit falschen Alarmen zugeschüttet werden.
Falsche Negative
Ein falscher Negativer entsteht, wenn ein Angriff als normaler Netzwerkverkehr interpretiert wird. Hier besteht nun insbesondere die Gefahr darin, dass es keine Benachrichtigung an den Analysten gibt.