Die Erkennungstechniken der Missbrauchserkennung und Anomalieerkennung sind keineswegs die einzigen Ansätze. In diesem Abschnitt werden weitere Erkennungstechniken vorgestellt, die sich jedoch noch im experimentellen Stadium befinden.
Immune Systeme
Bei den Immunen Systemen steht der Selbstschutz des Systems im Vordergrund. Die Technik ist dem biologisch, immunen System entnommen und soll die natürlichen Schutzmechanismen des Immunsystems auf die Informationstechnik umsetzen. Das ID-System soll selbständig erkennen, welcher Datenverkehr schädlich ist und welcher hilfreich ist.
Genetische Algorithmen
Ein genetischer Algorithmus ist eine Instanz von „Evolutionären Algorithmen“. Die Evolutionären Algorithmen bauen auf der natürlichen Auslese von Darwin auf, um Problemlösungen zu optimieren. Dabei spielen die Mutation und Rekombination eine wichtige Rolle. Durch die Rekombination soll es ermöglicht werden das die Erkennung sich in ihrer Charakteristik verbessert bzw. optimiert. Die Mutation soll dafür sorgen, das neue Bereiche eines Lösungsraumes durchsucht werden können. Ein bestehendes System, welches auf genetischen Algorithmen basiert ist GASSATA.
Agentenbasierte Erkennung
AAFID ist ebenfalls ein neuer Ansatz, eines Intrusion Detection Systems. AAFID (Autonmous Agents for Intrusion Detection) setzt Monitore, Transceiver und Agenten ein. Die Agenten sind durch ein eigenständiges kleines Programm realisiert. Der Agent erhält ein bestimmtes Aufgabengebiet, welches er überwachen soll und meldet die Ereignisse (z.B. Angriffe) an den Transceiver weiter. Der Transceiver ist in der Lage die Ereignisse, die er von den Agenten bekommt zu aggregieren und an den Monitor weiterzuleiten. Der Monitor selbst wird vom Benutzer gesteuert. Der Benutzer kann dem Monitor über eine Benutzerschnittstelle Kommandos erteilen. In umgekehrter Reihenfolge steuert der Monitor die Transceiver und die Transceiver steuern die Agenten. Auf jedem Host können mehrere Agenten und Transceiver installiert werden, je nachdem welche Aufgaben erfüllt werden sollen. Der Monitor kann die Kommunikation zu verschieden Host aufbauen und somit Angriffe erkennen, die von unterschiedlichen Hosts ausgehen.
Vorteile
Agenten können unabhängig vom ganzen System getestet werden. Leichter zu skalieren, da neue Komponenten einfach installiert bzw. alte Komponenten einfach entfernt werden können. Die Agenten können ganz einfache Aufgaben lösen. Das Ergebnis kann jedoch, durch die Aggregation von Transceivern sehr komplex und aussagekräftig sein.
Nachteile
Ist ein Monitor fehlerhaft, sind alle Ergebnisse die von den Transceiver kommen auch mit Fehlern behaftet. Werden duplizierte Monitore eingesetzt, um das Problem der Fehlerhaftigkeit zu lösen, ist es schwer die Konsistenz zwischen den beiden Monitoren herzustellen. Die Mitteilungszeiten die durch die starke Verteilung der einzelnen Komponenten entstehen, sind ein Problem hinsichtlich der Angriffserkennungsmitteilung an den Monitor.
Weiterführende Informationen
Diese Informationen könnten Sie ebenfalls interessieren: