161466

IDS des Fraunhofer Instituts denkt mit

20.02.2008 | 13:34 Uhr |

Bis klassische IDS durch ein Signatur-Update auf neue Attacken vorbereitet sind, vergeht wertvolle Zeit. Ein selbstlernendes Intrusion-Detection-System (IDS) soll Administratoren einen Vorsprung verschaffen.

Mit einem Verfahren, das es dem Netzwerkwächter erlaubt, zu lernen und auf neue Bedrohungen selbstständig zu reagieren, will das Fraunhofer Institut Rechnerarchitektur und Softwaretechnik (FIRST) der rasanten Flut der Malware begegnen, mit der Unternehmen heute zu kämpfen haben. Traditionelle Methoden der Malware-Erkennung stoßen hier an ihre Grenzen. So kursierten Sicherheitsexperten zufolge im vergangenen Jahr rund 5,5 Millionen neue digitale Schädlinge – gegenüber knapp einer Million im Jahr 2006 und gerade mal 330.000 Malware-Varianten im Jahr zuvor. Dieser Vielfalt an Bedrohungen sind klassische, rein signaturbasierende Sicherheitssysteme, die einen Schädling erst abwehren können, wenn ihnen das für ihn typische Erkennungsmuster vorliegt, kaum mehr gewachsen. Bis eine solche Signatur erzeugt und in das System eingepflegt ist, kann viel Zeit vergehen, in der ein Schädling Schaden anrichten kann.

Abhilfe soll ein vom Fraunhofer FIRST entwickeltes, auf den Namen "ReMIND" getauftes Intrusion Detection System (IDS) schaffen, das neuartige Eindringlinge selbständig identifizieren kann. Anders als das Gros der herkömmlichen IDS stützt sich ReMIND nicht auf Signaturen, um Angriffsversuche zu erkennen. Den Forschern zufolge kann es seinen Dienst ohne "Vorwissen" verrichten. Dazu überwacht es Datenströme mit speziellen Algorithmen zur Erkennung von Anomalien. Grundlage dieser Algorithmen sei, dass Schadcode-Attacken semantische Eigenschaften aufweisen, die sich von denen normaler Daten wesentlich unterscheiden, so die Experten. Pakete einer Netzverbindung mit solchen Merkmalen filtert ReMIND heraus.

Das Fraunhofer FIRST wird ReMIND auf der CeBIT (Halle 9, Stand des BMBF B40) erstmals der Öffentlichkeit präsentieren. Besucher können das IDS mit verschiedenen Attacken – etwa mittels manipulierter, von einem virtuellen Web-Server dargestellten Web-Seiten - herausfordern und live erleben, wie das System damit verfährt. (kf)

0 Kommentare zu diesem Artikel
161466