Intrusion Detection | ID | Angriffserkennung

08.04.2009 | Redakteur: Gerald Viola

Intrusion Detection (ID) beschreibt ein Sicherheitsmanagementsystem für Computer und Netzwerke. Ein ID-System sammelt und analysiert Informationen aus verschiedenen Bereichen innerhalb eines Computers bzw. Netzwerks, um mögliche Sicherheitsverletzungen zu identifizieren; diese umfassen Einbrüche (Angriffe von außerhalb des Unternehmens) und den Missbrauch (Angriffe von innerhalb der Organisation). ID verlässt sich auf die Schwachstellenerkennung (auch Scanning genannt), eine Technologie, die für die Bewertung der Sicherheit eines Computersystems bzw. Netzwerks konzipiert wurde.

Die Funktionen von Intrusion Detection sind unter anderem:

  • Überwachung und Analyse von Benutzer- und Systemaktivitäten
  • Analyse der Systemkonfiguration und Sicherheitslücken
  • Beurteilung der System- und Dateiintegrität
  • Die Fähigkeit, typische Angriffsmuster zu erkennen
  • Analyse abnormer Aktivitätsmuster
  • Verfolgung von Verstößen gegen Benutzerrichtlinien

ID-Systeme werden als Antwort auf die Zunahme der Angriffe auf größere Sites entwickelt, darunter die Sites vom Pentagon, dem Weißen Haus, der NATO und des US-Verteidigungsministeriums. Die Gewährleistung der Sicherheit wird immer schwieriger, weil die möglichen Angriffstaktiken immer raffinierter werden; gleichzeitig braucht der unerfahrene Angreifer immer weniger technisches Wissen, weil funktionierende Angriffsmethoden überall im Internet verfügbar sind.

In der Regel hält sich ein ID-System an einen Prozess mit zwei Schritten. Die ersten Prozeduren sind Host-basiert und gelten als passive Komponente; dazu zählen: Untersuchung der Systemkonfigurationsdateien, um nicht empfehlenswerte Einstellungen zu erkennen; Untersuchung der Passwortdateien, um nicht empfehlenswerte Passwörter zu erkennen sowie die Untersuchung der anderen Systembereiche, um Verstöße gegen Richtlinien zu erkennen. Die weiteren Prozeduren sind Netzwerk-basiert und gelten als aktive Komponente: Mechanismen werden eingerichtet, um bekannte Angriffsmethoden nachzubilden und die Reaktion des Systems auf die Angriffe wird protokolliert.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2020915 / Glossar)