The goal of this thesis is to examine dependencies and tradeoffs between the resource usage (CPU and memory) and the analysis capabilities of Network Intrusion Detection Systems (NIDS). We base our work on the experience of running NIDS in large network environments (among them the Münchener Wissenschaftsnetz (MWN)). These show that resource management is vital for running NIDS in high volume networks. To reduce the resource consumption of NIDS is often only possible by reducing the NIDS' analysis. We examine three aspects of these tradeoffs: 1. Prediction: what resources are needed in the future for the given analysis? 2. Adaption: how can the NIDS' analysis be adapted dynamically to the challenges posed by the network traffic? 3. Retrospective analysis: How can disk space be used efficiently to perform a detailed analysis of an attack in retrospective (forensics)?     «

The goal of this thesis is to examine dependencies and tradeoffs between the resource usage (CPU and memory) and the analysis capabilities of Network Intrusion Detection Systems (NIDS). We base our work on the experience of running NIDS in large network environments (among them the Münchener Wissenschaftsnetz (MWN)). These show that resource management is vital for running NIDS in high volume networks. To reduce the resource consumption of NIDS is often only possible by reducing the NIDS' analys...     »

Das Ziel dieser Arbeit ist Abhängigkeiten und Kompromisse zwischen Ressourcenverbrauch (CPU und Speicher) und Analysefähigkeiten von Network Intrusion Detection Systems (NIDS) zu untersuchen. Die Grundlage der Arbeit bilden Erfahrungen, die wir beim Betrieb von NIDS in großen Netzwerkumgebungen (unter anderen dem Münchener Wissenschaftsnetz (MWN)) sammeln konnten. Diese zeigen, dass Network Intrusion Detection in Netzwerkumgebungen, welche ein hohes Transfervolumen aufweisen, zwangsläufig mit aktivem Ressourcenmanagement verbunden sein muss. Den Ressourcenbedarf eines NIDS zu reduzieren geht oft nur auf Kosten der Analysequalität. Wir untersuchen solche Kompromisse unter drei Aspekten. 1. Vorhersagbarkeit: welche Ressourcen werden in der Zukunft für die gegebene Analyse gebraucht? 2. Anpassungsfähigkeit: wie kann die Analyse dynamischer an die jeweiligen Herausforderungen angepasst werden? 3. Rückwirkende Analyse: wie können Festplatten-Speicherkapazitäten effizient genutzt werden, um eine detaillierte (manuelle) Analyse eines Angriffs im Nachhinein durchführen zu können (Forensik)?     «

Das Ziel dieser Arbeit ist Abhängigkeiten und Kompromisse zwischen Ressourcenverbrauch (CPU und Speicher) und Analysefähigkeiten von Network Intrusion Detection Systems (NIDS) zu untersuchen. Die Grundlage der Arbeit bilden Erfahrungen, die wir beim Betrieb von NIDS in großen Netzwerkumgebungen (unter anderen dem Münchener Wissenschaftsnetz (MWN)) sammeln konnten. Diese zeigen, dass Network Intrusion Detection in Netzwerkumgebungen, welche ein hohes Transfervolumen aufweisen, zwangsläufig mit ak...     »