ZUSAMMENFASSUNG
Intrusion-Detection-Systeme (IDS) haben sich als ein wichtiges Instrument für den Schutz informationstechnischer Ressourcen erwiesen. In Ergänzung präventiver Sicherheitsmechanismen führen sie eine automatische Erkennung und ggf. auch eine Abwehr von IT-Sicherheitsverletzungen durch. Ein Manko bisher existierender Systeme ist jedoch, dass sie in realen Umgebungen nur begrenzt wirksam sind. Sie beschränken sich überwiegend auf die Erkennung einfach strukturierter Sicherheitsverletzungen und sind für einen Einsatz in größeren Rechnernetzen sowie unter hohen zeitlichen Anforderungen ungeeignet. In diesem Beitrag stellen wir mit der IDS-Infratruktur HEIDI einen Ansatz für eine effiziente und flexible Erkennung von IT-Sicherheitsverletzungen vor. Ziel dieser Entwicklung ist es, universell einsetzbare Infrastrukturkomponenten bereitzustellen, die es gestatten, Intrusion-Detection-Systeme zugeschnitten für unterschiedliche Netzstrukturen und Anwendungsfälle zu konfigurieren. Das HEIDI-Konzept basiert auf den Erfahrungen, die mit dem Vorläufersystem AID gesammelt wurden. Es orientiert stärker als das Vorgängersystem auf die Unterstützung effizienter Analyseprozesse für die in der Regel massenhaft anfallenden Audit-Daten. Damit sollen Reaktionen auf Attacken in annähernder Echtzeit, d.h. unmittelbar nach bzw. sogar noch während ihrer Ausführung, ermöglicht werden. Der verfolgte Ansatz basiert auf drei grundlegenden Konzepten: der maximalen lokalen Konzentration der Analysefunktionalität, der adaptiven Behandlung von Überlastsituationen und dem Einsatz optimierter Signaturerkennungsalgorithmen. Der Beitrag stellt die im Kontext dieser Entwicklungen bisher erzielten Ergebnisse vor und liefert einen Ausblick auf weitere geplante Arbeiten.
© Copyright by K.G. Saur Verlag 2002
