ZUSAMMENFASSUNG
Attacken im Internet werden heute häufig hochgradig verteilt ausgeführt, indem tausende fremd kontrollierte Rechnersysteme, die zu so genannten Botnetzen zusammengefasst wurden, genutzt werden, um Rechner gezielt anzugreifen bzw. in ihrer Funktion zu hindern. Die Nutzung verteilter Ansätze im Intrusion Detection, z.B. durch die Nutzung von Multiagentenoder Peer-to-Peer-Technologien, stellt eine logische Konsequenz zur Abwehr solcher Angriffe dar. Bisherige derartige Ansätze nutzen bisher nur die Möglichkeiten der Kooperation zur Verteilung von Analyseresultaten, z.B. Angriffswarnungen. Die dynamische Verteilung der Auditdatenanalyse wurde dagegen bisher kaum untersucht. Ein weiteres Problem moderner Intrusion Detection Systeme ist das rapide ansteigende Aufkommen an Auditdaten. Viele Intrusion Detection Systeme verwerfen daher in Überlastsituationen Daten oder verzögern die Erkennung von Sicherheitsverletzungen so signifikant, dass Gegenmaßnahmen nur noch eingeschränkt möglich sind. Als Lösungsansatz bietet sich die Auslagerung von Analysen an. Diese Problematik einschließlich der Korrelation von Teilergebnissen der verteilten Analyse in einem Peer-to-Peer Intrusion Detection System sollen in diesem Beitrag diskutiert werden.
© Copyright by K.G. Saur Verlag 2009