Grundlagen
Überwachungssysteme in Netzwerken
Vor- und Nachteile der NNIDS
Da anders als bei NIDS nicht jedes Datenpaket untersucht werden muss, ist die Leistung eines solchen Systems gegenüber der Netzwerklösung deutlich höher. Allerdings können NNIDS nicht im Promiscuous Mode laufen, sind somit für Angreifer leicht zu erkennen und werden unter Umständen selbst zum Angriffsziel. Wie HIDS benötigen sie außerdem Ressourcen auf dem installierten System.
Wie wird ein Angreifer erkannt?
Ziel der Intrusion-Detection-Systeme ist es, Angriffe zu erkennen und Alarm zu schlagen. Um einen Angriff zu erkennen, müssen die geschnüffelten Daten analysiert werden. Es gibt zwei verschiedene Arten, Angriffe zu entdecken: Missbrauchs- und Anomalieerkennung.
Eine „beste Erkennungsmethode“ gibt es nicht, Sinn macht erst die Kombination der beiden Methoden. NIDS und NNIDS forschen meist nach Missbrauch und verbinden hier die Protokollanalyse mit Pattern Matching und Anomalieerkennung. Host-basierende IDS setzen vor allem auf Anomalieerkennung, sind aber in ihrer Leistung eingeschränkt, da immer definiert sein muss, was normal ist und was nicht.
Erkennen von Missbrauch
Die Missbrauchserkennung beruht auf bekannten Angriffsmustern. Über ein sogenanntes Pattern Matching (Bitmuster/Abgleich) untersucht das IDS den Datenstrom auf bekannte (Angriffs-)Bitmuster und vergleicht die gesammelten Daten laufend mit einer Datenbank.
Dadurch ist der Rechenaufwand beim Pattern Matching groß. Wenn das Netzwerk ohnehin stark ausgelastet ist, ist ein solcher Abgleich aller Datenpakete mit den Datenbanken kaum möglich. Es ist also ratsam, sich bereits vor der Installation eines IDS genau zu überlegen, wie sich das Netz am besten segmentieren lässt. So lassen sich Flaschenhälse durch ein NIDS bereits im Vorfeld verhindern.