"Billy Goat": IBM hat ein neuartiges Intrusion Detection-System entwickelt

Wurmattacken entdecken, ohne Fehlalarme auszulösen

(03.04.06) - Mit "Billy Goat" hat das IBM-Forschungszentrum in Zürich ein neues, so genanntes Intrusion Detection System (IDS) entwickelt, das Wurmattacken zuverlässig entdecken und im Gegensatz zu herkömmlichen Systemen praktisch kaum Fehlalarme auslösen soll. Das System simuliert die Existenz von Servern. Bösartige Angriffe, die nicht zwischen realen und virtuellen Servern unterscheiden, kann Billy Goat daher schnell erkennen, so dass Würmer und Viren wirksam isoliert werden können, bevor sie sich im Netzwerk ausbreiten.

Die Billy Goat-Technologie basiert auf einem innovativen Ansatz, mit dem die Anzahl falscher Alarme, einer der Hauptnachteile bereits existierender Lösungen, erheblich reduziert werden kann. Gängige netzwerkbasierte Systeme untersuchen üblicherweise den Netzwerkverkehr zwischen real existierenden Geräten. Billy Goat geht anders vor: Das Programm nimmt diejenigen Daten unter die Lupe, die an ungebundene IP-Adressen geschickt werden. Das sind Adressen, die keinem realen Gerät zugewiesen sind. Wird nun versucht, eine Verbindung mit einer nicht zugeordneten IP-Adresse herzustellen, so handelt es sich dabei entweder um eine Fehleingabe oder um eine bewusste Attacke.

"Mit diesem Aufbau ist Billy Goat in der Lage, eine Vielzahl von ungebundenen IP-Adressen zu überwachen und erkennt so, ob tatsächlich ein Angriff oder ein unbedeutender Einzelfall vorliegt. Fehlalarme lassen sich so vermeiden, gegenüber einem herkömmlichen IDS ein immenser Vorteil", sagte Dr. James Riordan, Leiter des Projekts am IBM Forschungszentrum Zürich.

Automatische, sich selbst fortpflanzende Angriffe wie Viren oder Würmer stellen heute eines der größten Sicherheitsrisiken für Computernetzwerke dar. Sie scannen willkürlich eine Reihe von Netzwerk-Servern, bis sie eine Lücke im System, beispielsweise einen offenen Port, finden und so ein schädliches Programm auf dem Server platzieren können. Das Programm nutzt nun den infizierten Server als Basis, um andere Server anzugreifen. In kürzester Zeit breitet sich der Virus oder Wurm epidemieartig im Netzwerk aus, was zu einem exponenziellen Anstieg der Angriffe und schließlich zu einem Zusammenbruch des Netzwerks durch Überlastung führt.

Diese Angriffe sind keine neue Erscheinung, allerdings haben die Ausmaße der Schäden sowie die Wachstumsgeschwindigkeit drastisch zugenommen. Durch den effizienten Einsatz von Systemen wie Billy Goat können Sicherheitsbedrohungen erkannt und bekämpft werden, bevor bedeutende Schäden auftreten.

Die Technologie wird von der IBM On Demand Innovation Services Organisation (ODIS) angeboten, in der IBM Forscher und Business Consultants gemeinsam mit Kunden Lösungen entwickeln, die optimal auf die Bedürfnisse der Kunden zugeschnitten sind. ODIS bringt die technologische Expertise der IBM-Forschung mit dem umfassenden Branchen- und Prozess-Know-how von IBM Business Consulting Services zusammen. Im Bereich Sicherheit und Datenschutz bietet ODIS Lösungen auf den Gebieten Biometrie, Identity Management, Digital Rights Management sowie Intrusion Prevention. (IBM: ra)