Netzwerk-Monitoring mit Anomalieerkennung

Professionals analyzing charts on computer monitor. Colleagues presenting diagram flat vector illustration. Business, marketing, analysis concept for banner, website design or landing web page

Netzwerk-Monitoring mit Anomalieerkennung

Sowohl Privatnutzer als auch Unternehmen setzen immer mehr auf unterbrechungsfreie Dienste wie Server, Webspaces oder auch Software. Durch den starken Zuwachs von Technologie, wächst auch Menge an neuen Protokollen mit. Meist setzen diese auf Bestandsprotokollen wie TCP/IP auf, benötigen aber eine ganz neue Art von Monitoring.

Zur Überwachung und Sicherung der Systeme setzt man nun mehr auf Firewalls und andere Überwachungslösungen. Die Überwachung ist in diesem Kontext die Protokollierung und Analyse der im Netz auftretenden Datenströme. Der Sinn der Überwachung ist hauptsächlich die Erkennung von Auffälligkeiten, die Einfluss auf technische und wirtschaftliche Belangen nehmen können.

In diesem Beitrag möchten wir die Grundprinzipien des Monitoring und der Anomalieerkennung erläutern.

Monitoring

Der Begriff “Monitoring” ist ein Überbegriff für alle Arten der unmittelbaren Erfassung, Beobachtung oder der Überwachung von Vorgängen oder Prozessen, welche mit Hilfe von technischen Systemen erfolgt.

Monitoring wird in so gut wie allen Bereichen der Wirtschaft, Industrie und auch immer öfters bei Privatpersonen eingesetzt und ist auf Prozesse und Abläufe jeder Art anwendbar. Es ist die Erweiterung des normalen Protokolierens und vertieft diesen Prozess.

Das Monitoring in der Informationstechnik ist die dauerhafte Überwachung von Kommunikationsdiensten, Prozessen und Geräten. Sowohl innerhalb des eigenen Netzwerks, als auch außerhalb. Meist nutzt man dafür die Überwachung der Datenströme oder der Logdaten um Informationen und Fehler herauszulesen und auszuwerten. Die Informationen bezieht man dabei aus verschiedenen Quellen wie z.B: dem Endgerät, der Firewall oder von Switchen.

Monitoring im Kontext der Cyber-Sicherheit ist jedoch nicht allein die Zustandsüberwachung, es beinhaltet zudem die Beobachtung der Kommunikation zwischen Automatisierungskomponenten, zu Aktoren und Sensoren. Ein wichtiger Bestandteil des Monitoring ist zudem die Alarmierung und Meldung an andere Systeme, Personen oder die selbstständige Fehlerbehebung.

Wie Monitoring funktioniert

Das Monitoring läuft meist auch eigenen externen Systemen und Hardware, damit ein Ausfall eines Servers, nicht auch gleich das Monitoring mit sich zerstört. Es ist also wichtig, dass das Monitoring eigenständig die Prozesse und Systeme kontrolliert und Meldungen geben kann. Die resultierenden Daten sollten dann an einem oder mehreren zentralen Punkten zusammenfliesen und dann analysiert und ausgewertet werden.

Das Monitoring kann dabei dann einfache Signalwerte von Schwellwerten signalisieren (wie z.B: Grün/Rot leuchtende LEDs), als auch komplexe Statistiken und Diagramme erstellen, mit welchen die Fehler und Meldungen ausgewertet werden können.

Anomalien

Unter dem Begriff Anomalie versteht man in diesem Kontext die unerwartete Abweichung von normalen Betriebsständen, durch zum Beispiel Fehler. Es kann jedoch auch durch Manipulation oder einen Angriff auf das System hervorgerufen werden. Durch das Monitoring, im besonderen durch das komplexe Monitoring, können diese Unregelmäßigkeiten schnell festgestellt werden und Maßnahmen können getroffen werden. So können z.B. Einbrüche in Diagrammen ein Zeichen von Fehlern oder Angriffen sein. Dies kann zum einen durch den Menschen ausgewertet werden, jedoch kann auch die Monitoring-Software bestimmte Mustern lernen, das Angriffszenario erkennen und Aktionen ergreifen (Email-Benachrichtigung, autom. Weitergabe an andere Systeme o.ä.). Muster können z.B. schneller und unerwarteter Einbruch von Servern, hohe Latenz, hoher Datenverkehr (z.B. DDoS) oder starker Datenverlust sein.

Anomalieerkennung

Damit das Monitoring außergewöhnliche Aktivitäten erkennen kann, muss es den Normalzustand kennen. Dazu können Sensoren in Hard- & Software eingebaut werden oder es werden Default-Daten angegeben, mit welchem das Monitoring arbeiten kann. Ebenfalls ist ein Spiegelsystem möglich, welches 1-zu-1 die gleichen Prozesse abläuft. Das Monitoring kann dann die beiden Systeme vergleichen und Unstimmigkeiten erkennen.

Auch ist es möglich, dass das Monitoring selbstständig lernt. Dazu kann es aus Protokolllogs und Datenströmen lernen und kann damit selbst erkennen das z.B. jede Nacht um 1 Uhr die Server neustarten. Zudem können externe Quellen mit Daten in das Monitoring einfließen, wie zum Beispiel neue Server, hohes Benutzeraufkommen durch Marketing-Analytics o.ä.

Aktives und Passives Monitoring

Die Datenerfassung für das Monitoring kann über zweierlei Wege passieren. Dabei ist der Anwendungsfall und die bestehenden Gegebenheiten zu berücksichtigen:

Bei der Anomalieerekennung können Daten aktiv oder passiv bezogen werden.

Für die aktive Überwachung wird ein proaktiver Ansatz bei der Netzwerk-Fehlerbehebung verfolgt, indem potenzielle Probleme aufzeigt werden, bevor diese sich auf die Endanwender auswirken können. Dabei können z.B. Pingtests gemacht werden, um Netzausfälle frühzeitig zu erkennen oder auch auftretende Echtzeitfehlermeldung direkt verarbeitet werden um z.B. Ersatzsysteme zwischenzuschalten.

Umgekehrt sammelt das passive Monitoring die tatsächlichen Anwenderdaten von bestimmten Netzwerkverbindungen und analysiert diese über bestimmte Zeiträume hinweg. Dadurch lassen sich auch große Datenmengen verarbeiten, da der Prozess nicht in Echtzeit passieren muss. Nachteil ist, dass Fehler erst nach auftreten und Auswertung der Daten zu sehen sind.

Autor: Thomas Michaelis

Bildquelle: People vector created by pch.vector – www.freepik.com