Autor: | C. Mayer | Links: | DownloadVortragsfolienBibtex |
---|---|---|---|
Quelle: | University of Karlsruhe (TH), Juli 2006 | ||
Logdateien von Angriffserkennungssystemen bzw. Aufzeichnungen von Netzwerkverkehr, sogenannte Netzwerktraces, werden in hohem Maße für Forschung und Industrie benötigt. Netzwerkverkehr, welcher auf einem Vermittlungssystem mitgeschnitten wird, ist grundlegend um Angriffe zu analysieren, nachzuspielen und unbekannte Angriffe zu erkennen. Allgemein kann mit Netzwerkverkehr das Verhalten der Netzkomponenten und von Benutzern analysiert werden. Die Entwicklung von Angriffserkennungssystemen benötigt Netzwerkverkehr für die Analyse und Evaluation des Systems. Idealerweise handelt es sich dabei um realen Verkehr, da dieser das Netz und die Benutzer des Netzes am besten widerspiegelt, mögliche unbekannte Angriffe enthält, sowie besondere Varianten von Angriffen, die in dieser Form bisher nicht beobachtet wurden.
Um mitgeschnittenen, realen Netzwerkverkehr verwenden zu können, müssen datenschutzrechtliche Grundlagen erfüllt sein. Daher müssen die Mitschnitte, unabhängig davon ob es sich um Netzwerkdumps oder Logdateien handelt, einer Anonymisierung unterzogen werden. Diese Anonymisierung muss sicher, schnell und robust sein, die wichtigsten Protokolle unterstützen und leicht auf neue Protokolle und Anonymisierungsprimitiven erweiterbar sein.