Ein Netzwerk von IDS-Sensoren für Angriffsstatistiken

Abstract

Angriffserkennende Systeme (Intrusion Detection Systems, IDS) sind mittlerweile eine etablierte Technik, um Informationen über die Gefährdung der eigenen Systeme zu gewinnen. Moderne IDS realisieren ein Framework einer Vielzahl unterschiedlicher Sensoren, um eine möglichst vollständige Datenerfassung durchzuführen. Der Einsatz vieler Sensoren, die über das gesamte Internet verteilt sind, ermöglicht die Beobachtung der unterschiedlichen Angriffscharakteristiken in den verschiedenen Teilnetzen. Durch Korrelation der Angriffe auf die Sensoren lassen sich auch Rückschlüsse auf das Verhalten von Angreifern und auf die Verbreitungsstrategien von Würmern und Viren ziehen. Im Rahmen des Projektes eCSIRT.net wurde ein Netz aus international verteilten Sensoren aufgebaut, das die gesammelten Angriffsdaten zur Erzeugung von entsprechenden Statistiken nutzt. Weiterhin können die gesammelten Daten den Netzbetreibern behilflich sein, Vorfälle zu erkennen und zu bearbeiten. Dieser Artikel stellt die Realisierung des Sensor-Netzwerkes vor und zeigt erste Ergebnisse der Datensammlung.