Heutige Intrusion-Detection-Systeme verbinden in der Regel beide Ansätze und gewährleisten auf diese Weise eine noch höhere Erkennungsrate von Angriffen. Diese hybriden Systeme zeichnen sich durch ein zentrales Managementsystem aus, das sowohl durch netzbasierte als auch durch hostbasierte Software mit den entsprechenden Informationen versorgt wird. Drei elementare Komponenten sind am Erkennungsprozess beteiligt:
Datenmonitoring
Der Datenmonitor hat die Aufgabe, alle relevanten Daten zu sammeln und vorzufiltern, die benötigt werden, um Eindringlinge zu enttarnen. Dabei handelt es sich um die bereits angesprochenen Audit-Daten wie Log-Dateien von Rechnersystemen und Sicherheitsanwendungen sowie Systeminformationen wie z. B. die CPU-Auslastung, die Anzahl aktiver Netzverbindungen oder die Anzahl wiederholter Log-in-Versuche. Außerdem verwertet der Datenmonitor im hybriden Intrusion-Detection-System natürlich auch die Informationen über die TCP/IP-Verbindungen wie Quell- und Zieladresse und weitere Eigenschaften der versendeten und erhaltenen Datenpakete, die er vom netzbasierten IDS-Sensor erhält.
Analyse
Die gesammelte und vorgefilterte Datenflut sendet der Datenmonitor an den sogenannten Analyzer. Dieser muss die erhaltenen Informationen in Echtzeit bearbeiten und auswerten – andernfalls wäre eine Vereitelung von Einbruchsversuchen nicht zu bewerkstelligen. Der Analysevorgang stellt konsequenterweise relativ hohe Ansprüche an die zugrundeliegende Hardware (CPU und Arbeitsspeicher). Vor allem in großen Unternehmensnetzwerken ist die passende Skalierung dieser IDS-Komponente daher eine der kompliziertesten, aber auch wichtigsten Aufgaben, um die Funktionalität des Angriffserkennungssystems zu gewährleisten. Zur Bewertung der Daten kann ein Analyzer zwei verschiedene Methoden heranziehen:
- Bei der Misuse Detection (dt. Missbrauchserkennung) versucht der Analyzer in den erhaltenen Daten bereits bekannte Angriffsmuster, sogenannte Signaturen, zu erkennen. Diese sind in einer separaten Datenbank hinterlegt, die regelmäßig aktualisiert wird. Zu jeder Signatur übermitteln die Datenbankeinträge auch Angaben über die Schwere des Angriffs. Während bekannte Angriffsmuster auf diese Weise eindeutig erkannt und bewertet werden können, bleibt ein nicht in der Signaturdatenbank hinterlegtes Zugriffsmuster vor dieser Aufspürungsmethode verborgen.
- Die Anomaly Detection (dt. Anomalie-Erkennung) basiert auf einem anderen Prinzip: Dieses Analyseverfahren geht davon aus, dass ein unbefugter Zugriff ein anormales Systemverhalten verursacht und von zuvor definierten Normwerten abweicht. So kann der Analyzer beispielsweise so konfiguriert sein, dass er Alarm schlägt, wenn die CPU-Auslastung oder die Seitenzugriffsrate einen bestimmten Wert überschreiten (statischer Ansatz). Alternativ kann er auch die zeitliche Abfolge von Ereignissen in seine Bewertung mit einfließen lassen (logischer Ansatz). Mithilfe der Anomaly Detection lassen sich zwar neue und unbekannte Angriffe erkennen, allerdings erzeugt diese aktive Erkennungsmethode in einigen Fällen auch Warnungen bei einem ungewöhnlichen System-Status, der nicht auf einen Eindringling zurückzuführen ist.
Ergebnisübermittlung
Im letzten Schritt informiert das Intrusion-Detection-System den Netzwerk-Administrator, insofern ein Angriff erkannt oder ein verdächtiges Systemverhalten festgestellt wurde. Je nach Gefahrenpotenzial gibt es verschiedene Möglichkeiten für die Form der Benachrichtigung. So kann das Abwehrsystem zum Beispiel
- eine E-Mail versenden, die die Art des Angriffes erläutert,
- einen lokalen Alarm wie ein Pop-up-Fenster in der Sicherheitskonsole auslösen,
- oder eine Alarmmeldung an ein mobiles Gerät schicken.
Der Gefährdungsgrad leitet sich bei der Anomaly Detection aus der Stärke der Abweichung vom jeweiligen Normwert ab, während das Misuse-Detection-Verfahren, wie bereits erwähnt, eine Einstufungsempfehlung der Signaturdatenbank erhält.