Misuse-Detection kann u.a. als Intrusion Detection Service (IDS) mit spezifizierten Events und Alarming umgesetzt werden, um frühzeitig Angriffe auf ein System und Missbrauch zu erkennen.
Hierzu erfolgt die Aufzeichnung relevanter Ereignisse und Benutzeraktionen während des laufenden Systembetriebs mit anschließender zeitnaher Auswertung zur Identifizierung ungewöhnlicher Eingaben, Abläufe oder Muster, die auf Angriffe oder Missbrauchsversuche hinweisen können wobei mögliche Verdachtsfälle im Detail zu untersuchen sind.
Grundsätzlich sind jedoch bei allen Misuse-Detection Maßnahmen die Anforderungen der Arbeitnehmervertretungen zur Verhinderung der Überwachung von Mitarbeitern zu beachten indem der Protokollierungsumfang auf ein absolut notwendiges Maß eingeschränkt wird.
Ein Intrusion Detection (IDS) umfasst im Wesentlichen die Überwachung einer Applikation mittels Sensoren, die die erzeugten Log-Daten auswerten und bei Erkennung von Angriffs- und Missbrauchsversuchen im Rahmen definierter Szenarien entsprechende Reaktionen (Alarme) auslösen.
Konzeptionell sollte sich ein IDS am „Leitfaden für die Einführung von Intrusion Detection Systemen“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) orientieren.
Nachfolgend finden Sie die Informationen des BSI auch im PDF-Format:
Intrusion-Detection Grundlagen
Leitfaden für die Einführung
Rechtliche Aspekte beim Einsatz von IDS