Ein flexibles komponentenstrukturiertes Intrusion Detection
System
Abdelhak Berraqa, Peter Herrmann, Nasser
Ilayyan, Heiko Krumm, Niels Schmitt,
Jens Schröder, Marc-Christian Schröer, Sebastian Stöcker, Anton
Stoll, Jens Thiemann, Lars Wiebusch
-
Universität Dortmund, FB Informatik, LS IV, D-44221 Dortmund
-
E-Mail: {Peter.Herrmann|
krumm}@cs.tu-dortmund.de
Kurzfassung
Intrusion Detection Systeme IDS haben eine stark wachsende Bedeutung für die Sicherheit in Rechnernetzen. Zukünftige Systeme sollen flexibel und verteilt sein, um bei geringer Systembelastung umfassende Erkennungsfunktionen zu unterstützen und dynamisch an veränderliche Anforderungen anpassbar zu sein. Wir stellen ein modulares IDS vor. Seine Architektur folgt dem von der DARPA geförderten Ansatz des Common Intrusion Detection Framework CIDF, das Komponententypen und Mittel zur dynamischen Systembildung sowie zur Kommunikation und Kooperation zwischen Komponenten definiert. CIDF-Komponenten bilden Module im Großen. Sie lassen sich sehr gut mit dem neueren Softwaretechnik-Ansatz der Komponentenstrukturierung verbinden, der darauf abzielt, Anwendungen bedarfsgesteuert durch Zusammensetzen aus Komponenten zu bilden. Intrusion Detection Systeme sind spezielle Managementsysteme. Deshalb orientieren wir uns insbesondere an Ansätzen zur Unterstützung komponentenstrukturierter Managementsysteme und verwenden das Java Dynamic Management Kit J-DMK. Die Management-Oberfläche unseres IDS ist Web-basiert und unterstützt Bedienung, Pflege und Anpassung über gängige Web-Browser. Es wird zur Zeit in Windows NT Netzen erprobt.
Wir stellen die Architektur des Systems vor und berichten über Betriebserfahrungen und Erprobungen mit typischen Angriffsszenarien und Angriffstools.
Veröffentlicht in
Tagungsband zum 7. Workshop Sicherheit in vernetzten Systemen,
DFN-CERT & DFN-PCA, Hamburg, März 2000.
Beschaffung des Textes
Der Text steht online zur
Verfügung.
Peter Herrmann, 4. April 2000
-- digital media copyright