Norbert Pohlmann (Institut für Internet-Sicherheit):,
“Frühwarnsystem entdeckt Anomalien im Internetverkehr”,
Computer Zeitung,
Nr. 3-4 / 22. Januar 2007 Frühwarnsystem entdeckt Anomalien im Internetverkehr
Was in der Erdbeben- und Hochwasserbeobachtung längst zum Standard gehört, kann auch im Internet für mehr Schadensbegrenzung sorgen. Frühwarnsysteme sollen aktuelle Zustände überwachen und möglichst früh vor drohenden Gefahren warnen. Frühwarnsysteme mit vergleichbaren Ansätzen können im Internet dazu führen, dass die Auswirkungen von z.B. Viren, Würmern oder gezielten Sabotageakten verringert werden können. Das Internet hat sich in den letzten Jahren zu einem allgegenwärtigen Medium entwickelt, das aus sehr großen Bereichen der Wirtschaft, der Forschung und dem Privatleben nicht mehr wegzudenken ist. Deshalb ist die Analyse und Kenntnis des Mediums Internet in seiner Gesamtheit von besonderer Bedeutung, um dessen Entwicklungen bewerten und die zukünftige Funktionsweise aller enthaltenen Dienste gewährleisten zu können. Mit Hilfe des Sonden-basierten Internet-Analyse-Systems, welches zurzeit als Forschungs- und Entwicklungsprojekt des Instituts für Internet-Sicherheit an der Fachhochschule Gelsenkirchen in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) realisiert wird, sollen lokale und vor allem globale Sichtweisen erstellt und analysiert werden, um Frühwarnungen generieren zu können. Besondere Schwerpunkte des Projektes sind eine datenschutzverträgliche Sammlung von Informationen, sowie eine Optimierung der Informationsmenge, um auch längerfristig Informationen speichern zu können und somit die Analyse von Trends und Entwicklungen über große Zeiträume zu ermöglichen. Ziele und Aufgabe des Internet-Analyse-Systems
Aufgabe des Internet-Analyse-Systems ist zum einen die Analyse von lokalen Kommunikationsdaten in definierten Teilnetzen des Internets und zum anderen die Erstellung einer globale Sichtweise auf das Internet durch die Zusammenführung der vielen lokalen Sichten. Die Funktionen des Internet-Analyse-Systems lassen sich in die vier Teilbereiche Musterbildung, Beschreibung des Ist-Zustandes, Alarmierung und Prognostizierung unterteilen.
Hauptaufgabe der Musterbildung ist eine umfassende Analyse und Interpretation der Kommunikationsparameter des Internetverkehrs, mit dem Ziel, Technologietrends, Zusammenhänge und Muster zu erkennen, die unterschiedliche Zustände und Sichtweisen des Internets darstellen. Auf der Grundlage dieser Wissensbasis werden bei aktuellen Messwerten Anomalien gesucht und die Ursachen für die Zustandsänderungen analysiert und interpretiert. Dabei ist es wichtig herauszufinden, ob die Zustandsanomalien natürlichen Ursprungs sind, wie beispielsweise durch eine Technologieveränderung, oder ob ein mutwilliger Angriff zu Grunde liegt. Über exakte Kenntnis des aktuellen Zustands einer Kommunikationsleitung und Zuhilfenahme historischer, das heißt zuvor erfasster Informationen (Wissensbasis), kann bei signifikanten Änderungen des Verkehrsaufkommens oder der Kommunikationsdaten eine Warnmeldung generiert werden, aufgrund derer Maßnahmen zum Schutz und Erhalt der Funktionsfähigkeit des Internets ergriffen werden können. Eine weitere wichtige Funktion ist die visuelle Darstellung des Internet-Zustands, analog zu einer Wetter-, oder Staukarte. Hier werden intuitive Darstellungen entwickelt, mit denen die wichtigsten Parameter auf den ersten Blick erkennbar sind. Durch die Untersuchung und Analyse der extrapolierten Profile, Technologietrends, Zusammenhänge und Muster wird es durch einen Evolutionsprozess der gewonnenen Ergebnisse möglich sein, Prognosen über Zustandsänderungen des Internets zu treffen. Auf diese Weise können Angriffe und wichtige Veränderungen bereits frühzeitig erkannt und die Schadenswirkung prognostiziert werden [1]. Mit Hilfe des Sonden-basierten Internet-Analyse-Systems können kontinuierlich Rohdaten gewonnen werden, die den Internetverkehr statistisch widerspiegeln. Durch die Auswertung der Rohdaten auf den unterschiedlichen Kommunikationsebenen wie Vermittlungsebene, Transportebene und Anwendungsebene können weit reichende Informationen abgeleitet werden (siehe http://www.internetsicherheit.de/internet-fruehwarn.html). Das System hat sich im Betrieb bewährt. Jetzt werden Partner gesucht, die sich dem Verbund anschließen und weitere Sonden und Auswertungssysteme betreiben. Organisationen, die nur eine Sonde betreiben wollen, erhalten vom zentralen Auswertungssystem monatlich einen aufschlussreichen Bericht über ihren Netzwerkverkehr. … kostenlos downloaden | 
