Fraunhofer FIRST präsentiert auf der CeBIT ein selbstlernendes Intrusion Detection System.

Fraunhofer FIRST präsentiert auf der CeBIT ein selbstlernendes Intrusion Detection System.

Im Jahr 2007 hat eine Flut von Viren, Würmern und Trojanern Computer in aller Welt überrollt. Sicherheitsexperten zählten rund 5,5 Millionen neue Schädlinge - gegenüber knapp einer Million in 2006 und gerade einmal 330.000 im Jahr davor. Klassische Sicherheitssysteme sind dieser Masse ständig neuer Bedrohungen kaum noch gewachsen, denn sie können einen Schädling erst abwehren, wenn ihnen seine Signatur vorliegt - ein typisches, für jeden Angriff individuelles Erkennungsmuster. Bis eine Signatur jedoch erzeugt und in das System eingepflegt wurde, kann viel Zeit vergehen. Fraunhofer FIRST entwickelt daher im Projekt "ReMIND" Sicherheitsmechanismen, die mit Verfahren des maschinellen Lernens neuartige Eindringlinge selbständig identifizieren. Sie werden auf der CeBIT (Halle 9, Stand des BMBF B40) erstmalig öffentlich vorgestellt.

Besucher des Messestandes können ReMIND mit verschiedenen Angriffen herausfordern. Über ein einfaches Webinterface können sie Webseiten manipulieren, die von einem abgeschlossenen virtuellen Webserver dargestellt werden. Es können z.B. fremde Inhalte in die Seiten eingeschleust oder unauthorisiert Informationen von auf dem Server hinterlegten "geheimen" Seiten abgerufen werden. Experten können beliebigen Code auf dem Webserver ausführen. ReMIND wird jeden Angriffsversuch schnell und zuverlässig enttarnen.

ReMIND ist ein so genanntes Intrusion Detection System (IDS). IDS überwachen als wesentlicher Teil der modernen IT-Sicherheitsinfrastruktur den Netzverkehr von und zu Computern auf Angriffe. Die meisten IDS stützen sich dabei auf Signaturen. Solange jedoch die Signatur eines Schädlings fehlt, kann dieser in das System gelangen und erheblichen Schaden anrichten, ohne als Gefahr erkannt zu werden. Das in ReMIND entwickelte IDS dagegen benötigt kein Vorwissen. Stattdessen überwacht es Datenströme mit Anomalieerkennungs-Algorithmen. Grundlage dieser Algorithmen ist, dass Angriffe semantische Merkmale besitzen, die sich von normalen Daten wesentlich unterscheiden. Pakete einer Netzwerkverbindung, die solche Eigenschaften aufweisen, werden aus den Datenströmen herausgefiltert.