Motivation und Zielsetzung
Unternehmen und Privatanwender sehen sich einer stetig wachsenden Zahl von Angriffen auf ihre Informationssysteme gegenüber. Eine Vielzahl dieser Angriffe wird durch im Internet freigesetzte Malware verursacht, die bereits andere Informationssysteme erfolgreich angegriffen hat. Jedoch setzen Angreifer zunehmend auch auf die Möglichkeiten leicht zugängiger Malware, um kommerzielle und private Systeme gezielt zu kompromittieren.
Konzerne und ihre Mitarbeiter sind in zunehmendem Maße auf eine funktionstüchtige IT-Infrastruktur angewiesen. Vor diesem Hintergrund reichen Firewalls und Antivirenlösungen als Sicherheitsbarrieren zwischen vertrauenswürdigen Netzen und dem Internet nicht mehr aus. Hinzu kommen Bedrohungen durch interne Angriffe, die in ihrer Gefährlichkeit noch höher eingestuft werden können. Nur durch die Kombination mehrerer Sicherheitsmechanismen kann ein ausreichender Schutz der informationstechnischen Infrastruktur gewährleistet werden. In den letzten Jahren haben sich deshalb Intrusion Detection Systeme in den Sicherheitsvorkehrungen vieler Unternehmen fest etabliert.
Die vorliegende Seminararbeit soll einen Überblick über die heute bekannten Formen von Malware geben und Trends in dieser Problematik aufzeigen. Besonderes Augenmerk wird jedoch der Thematik der Intrusion Detection Systeme beigemessen, indem detailliert Aufbau und Arbeitsweise dieser Systeme geschildert werden. Auf dieser Basis soll die Arbeit letztlich auch aufzeigen, welche Möglichkeiten mit Hilfe von Intrusion Detection Systemen bestehen, Malware erfolgreich zu erkennen.
Inhaltsverzeichnis
1 Motivation und Zielsetzung
2 Malicious Software
2.1 Begriffsdefinition und Verbreitungswege
2.2 Typen von Malware
2.3 Trends bei der Entwicklung von Malware
3 Intrusion Detection Systeme
3.1 Begriffsdefinitionen
3.2 Architekturkomponenten und Prozessschritte im Überblick
3.3 Datensammlung mit Hilfe von Sensoren
3.4 Erkennungsmethoden des Analysemoduls
3.5 Maßnahmeoptionen des Reaktionsmoduls
3.6 Die Managementstation
3.7 Marktübersicht
4 Ausblick
Zielsetzung und Themen
Die Arbeit untersucht die zunehmende Bedrohung durch Schadsoftware (Malware) für moderne IT-Infrastrukturen und analysiert Intrusion Detection Systeme (IDS) als zentrale Sicherheitskomponente. Das primäre Ziel ist es, den Aufbau und die Funktionsweise von IDS detailliert darzustellen und aufzuzeigen, wie diese Systeme zur Erkennung und Abwehr von Malware beitragen können.
- Aktuelle Formen und Verbreitungswege von Malicious Software
- Trends in der Malware-Entwicklung und steigende Komplexität von Angriffen
- Architektur und Prozessabläufe von Intrusion Detection Systemen
- Methoden der Angriffserkennung (Missbrauchs- vs. Anomalieanalyse)
- Marktübersicht und zukünftige Anforderungen an IDS/IPS-Lösungen
Auszug aus dem Buch
3.2 Architekturkomponenten und Prozessschritte im Überblick
Betrachtet man ein IDS aus Prozesssicht, sind folgende wiederkehrende Schritte identifizierbar: 1. Sammlung von Auditdaten bei der Systembeobachtung (Intrusion Monitoring), 0. Analyse der Auditdaten durch ein Analysemodul (Intrusion Detection) und 0. ggf. Alarmgenerierung bzw. Reaktion (Intrusion Response).
Derzeitig verfügbare IDS setzen typischer Weise auf die Kombination folgender Teilkomponenten: Sensoren – Netz- und/oder Hostsensoren, Analysemodul, Reaktionsmodul, Datenbank, Managementstation. Die folgende Darstellung veranschaulicht das Zusammenspiel der Einzelkomponenten im Prozessablauf.
Sensoren sind für die Sammlung analyserelevanter Auditdaten verantwortlich. Die gesammelten Daten werden entweder sofort dem Analysemodul zur Verfügung gestellt oder in einer Datenbank für eine spätere Analyse abgelegt. Das Analysemodul untersucht die gesammelten Daten mit Hilfe von Erkennungsmethoden auf Anzeichen eines Angriffes. Eventuelle Zwischenergebnisse werden dabei in der Datenbank abgelegt. Es ist darauf hinzuweisen, dass Sensoren – gerade als Hardwarekomponenten – bereits Analysefähigkeiten integrieren können. Der Einsatz einer zentralen oder mehrerer verteilter Datenbanken zur Datenhaltung hat sich im professionellen IDS-Segment etabliert.
Zeigen die Ergebnisse des Analysevorganges Hinweise auf Angriffe, wird das Reaktionsmodul daraufhin alarmiert. Das Reaktionsmodul entscheidet selbstständig oder nach Benachrichtigung des IDS Administrators in Abstimmung mit diesem, welche Gegenmaßnahmen durchzuführen sind.
Zusammenfassung der Kapitel
1 Motivation und Zielsetzung: Einleitung in die Problematik wachsender IT-Angriffe und Begründung der Relevanz von Intrusion Detection Systemen als Sicherheitsmaßnahme.
2 Malicious Software: Definition von Malware, Beschreibung der Verbreitungswege sowie detaillierte Klassifizierung verschiedener Malware-Typen und deren Entwicklungstrends.
3 Intrusion Detection Systeme: Zentrale Analyse des Aufbaus, der Komponenten, der Sensortechnik, der Erkennungsmethoden, Reaktionsmechanismen sowie des Marktumfelds von IDS.
4 Ausblick: Einschätzung der künftigen Entwicklung bei der Malware-Abwehr sowie der notwendigen technologischen Weiterentwicklung von IDS und deren hybriden Einsatz mit IPS.
Schlüsselwörter
Malware, Intrusion Detection Systeme, IDS, Netzsensoren, Hostsensoren, Missbrauchsanalyse, Anomalieanalyse, IT-Sicherheit, Angriffserkennung, Sicherheitsinfrastruktur, Netzwerksicherheit, Bedrohungsanalyse, Signaturerkennung, Intrusion Prevention Systeme, IT-Infrastruktur.
Häufig gestellte Fragen
Worum geht es in der Arbeit grundsätzlich?
Die Arbeit behandelt die Bedrohung durch Schadsoftware (Malware) und die Rolle von Intrusion Detection Systemen (IDS) bei der Überwachung und Sicherung von IT-Infrastrukturen.
Was sind die zentralen Themenfelder?
Die Schwerpunkte liegen auf der Klassifizierung von Malware, der technischen Architektur von IDS, verschiedenen Analyseverfahren zur Angriffserkennung und einem Überblick über den Markt für IDS-Lösungen.
Was ist das primäre Ziel der Arbeit?
Das Ziel besteht darin, den Aufbau und die Arbeitsweise von IDS detailliert zu erläutern und aufzuzeigen, wie diese Systeme zur effektiven Erkennung von Malware genutzt werden können.
Welche wissenschaftliche Methode wird verwendet?
Es handelt sich um eine systematische Literaturanalyse, die den Stand der Technik und aktuelle Forschungsansätze der Sicherheitsinformatik zusammenfasst und strukturiert.
Was wird im Hauptteil behandelt?
Der Hauptteil gliedert sich in die Analyse von Malware-Typen und -Trends sowie eine detaillierte technische Untersuchung der Komponenten und Prozessabläufe eines Intrusion Detection Systems.
Welche Schlüsselwörter charakterisieren die Arbeit?
Die Arbeit lässt sich maßgeblich durch Begriffe wie Malware, IDS, Missbrauchsanalyse, Anomalieanalyse und IT-Sicherheit charakterisieren.
Worin liegt der Unterschied zwischen Netz- und Hostsensoren?
Netzsensoren überwachen den Verkehr in Netzwerksegmenten und sind für Angreifer unsichtbar, während Hostsensoren direkt auf dem zu schützenden System operieren und tiefere Einblicke in lokale Systemaktivitäten ermöglichen.
Warum ist die Kombination aus Missbrauchs- und Anomalieanalyse sinnvoll?
Diese Kombination gleicht die jeweiligen Schwächen aus: Während die Missbrauchsanalyse bekannte Angriffe präzise erkennt, kann die Anomalieanalyse auch neuartige, unbekannte Angriffsmuster durch Abweichungen vom Normalzustand identifizieren.
Welche Rolle spielt die Managementstation bei einem IDS?
Die Managementstation fungiert als zentrale Schnittstelle für Administratoren, um das IDS zu konfigurieren, Monitoring-Policies zu verwalten und Analyseergebnisse zu visualisieren.
- Quote paper
- Christian Seemann (Author), 2004, Malware und Intrusion Detection Systeme, Munich, GRIN Verlag, https://www.grin.com/document/36293
