DS2010
Datenspuren 2010
Willkommen beim Feedback-System.
Die Entwicklungspsychologie der Intrusion Detection Systeme
Auf dem Weg zum Intrusion Detection System der Zukunft
2005 habe ich in meinem Vortrag »Einbruchserkennung in Netzwerke mit Intrusion Detection Systemen« die Funktionsweise von IDS beschrieben. In den letzten Jahren hat sich der Hype um Snort &. Co. etwas gelegt und die systembedingten Grenzen wurden aufgezeigt. So sind IDS immer noch nicht in der Lage, unbekannte Angriffe zu erkennen oder gar das soziale System einer Organisation zu analysieren.
Ich zeige anhand von Beiträgen aus der Philosophie, Pädagogik und Psychologie, wie Erkenntnis und Lernen funktioniert und welche Voraussetzungen erfüllt sein müssen, um lernende und erkennende IDS aufzubauen.
Ein Intrusion Detection System (IDS) ist ein System, das Einbrüche bzw. Einbruchsversuche in ein Netzwerk erkennen soll.
Da ein Einbruch aber nicht nur aus TCP/IP-Paketen besteht, sondern oftmals auch auf einer sozialen Ebene wie z. B. Social Engineering stattfindet, ist es notwendig diese Ebene ebenfalls zu analysieren.
Darüberhinaus sind die gegenwärtigen IDS nicht in der Lage neuartige Angriffe zu erkennen. Sie verwenden im Prinzip Lexika, in denen bereits erkannte und analysierte Angriffe aufbereitet wurden und vergleichen diese mit dem Netzwerkverkehr.
Wünschenswert sind aber IDS, die neuartige Angriffe selbständig erkennen können und aus Einbruchsversuchen lernen.