Mobile Systems III INFORMATIK
Mobile Systems III INFORMATIK
Mobile Systems III INFORMATIK
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
150 Intrusion Detection in mobilen Netzwerken<br />
hat. Anfangs war Intrusion Detection auch nur ein Versuch die Auditdaten eines Mainframes<br />
auf ein kompaktes aussagekräftiges Niveau zu reduzieren[2]. Auditdaten ist der<br />
Begriff, mit dem man bei Intrusion Detection Systemen generierte Prüfdaten beschreibt.<br />
In der ID versucht man insbesondere mit 2 Methoden nach einem eventuellen Eingriff zu<br />
suchen. Im Folgenden wird auf diese Methoden spezieller eingegangen.<br />
7.2.2 Anomaly Detection<br />
Bei dieser Methode geht man von der Annahme aus, dass eine Bedrohung, sei es ein<br />
Angreifer, Malware oder andere unautorisierte Modifikation der Systemdaten, durch seine<br />
Aktionen das Verhalten des <strong>Systems</strong> so beeinflusst, dass es von seinem normalen Verhalten<br />
abweicht. Aufgabe dieser Methode ist nun diese Abweichungen aufzuspüren und darauf<br />
entsprechend zu reagieren. Die Vorgehensweise ist, dass vom System Messdaten gesammelt<br />
werden und zu statistischen Profilen (behaviour profiles) zusammengefasst werden. Hierbei<br />
besteht auch die Möglichkeit der Eingrenzung der Detection auf ein Teilsystem oder<br />
einen User. Im Folgenden wird darauf eingegangen, dass diese Vorgehensweisen sowohl<br />
programmiert als auch vom ID System selbst erlernt sein können[1].<br />
Selbstlernende Systeme<br />
Diese Systeme werden in drei Kategorien unterschieden. Das Unterscheidungskriterium<br />
sind die Mittel der Beschreibung des gutartigen Verhaltens.<br />
Rule Modelling:<br />
Hierbei wird zunächst der auftretende Verkehr der Daten studiert. Es folgt der Versuch<br />
die normalen Operationen durch das Aufstellen von Regeln zu beschreiben. Bei einem<br />
Regelverstoß wird Alarm ausgelöst. Auf mögliche weitere Reaktionen des <strong>Systems</strong> wird<br />
im Kapitel 3.3 genauer eingegangen.<br />
Descriptive Statistics:<br />
Nach einer Sammlung von einfachen Grenzwerten innerhalb der systemtypischen Operationen<br />
wir daraus ein Mittelwert gebildet. Daraufhin folgt die Berechnung der Standardabweichungen.<br />
Schließlich kontrolliert man durch einen daraus gebildeten Abstandsvektor<br />
(distance vector) die Abweichungen, die im System vorkommen. Bei einer Distanz, die<br />
nicht im Toleranzbereich liegt, wird ein Alarm ausgelöst.<br />
Künstliches neurales Netz:<br />
Das ANN - Netz (artificial neural network) wird zunächst mit dem normalen Verkehr<br />
gefüttert. Daraus versucht es Strukturen und Muster (pattern) zu deuten und zu erkennen.<br />
Beim Einsatz des ANN wird das aktuelle Muster mit den studierten verglichen. Sind die<br />
Strukturen verschieden kommt es zum Alarm.