Mobile Systems III INFORMATIK

Weitere Magazine

Empfehlungen

Info

150 Intrusion Detection in mobilen Netzwerken hat. Anfangs war Intrusion Detection auch nur ein Versuch die Auditdaten eines Mainframes auf ein kompaktes aussagekräftiges Niveau zu reduzieren[2]. Auditdaten ist der Begriff, mit dem man bei Intrusion Detection Systemen generierte Prüfdaten beschreibt. In der ID versucht man insbesondere mit 2 Methoden nach einem eventuellen Eingriff zu suchen. Im Folgenden wird auf diese Methoden spezieller eingegangen. 7.2.2 Anomaly Detection Bei dieser Methode geht man von der Annahme aus, dass eine Bedrohung, sei es ein Angreifer, Malware oder andere unautorisierte Modifikation der Systemdaten, durch seine Aktionen das Verhalten des Systems so beeinflusst, dass es von seinem normalen Verhalten abweicht. Aufgabe dieser Methode ist nun diese Abweichungen aufzuspüren und darauf entsprechend zu reagieren. Die Vorgehensweise ist, dass vom System Messdaten gesammelt werden und zu statistischen Profilen (behaviour profiles) zusammengefasst werden. Hierbei besteht auch die Möglichkeit der Eingrenzung der Detection auf ein Teilsystem oder einen User. Im Folgenden wird darauf eingegangen, dass diese Vorgehensweisen sowohl programmiert als auch vom ID System selbst erlernt sein können[1]. Selbstlernende Systeme Diese Systeme werden in drei Kategorien unterschieden. Das Unterscheidungskriterium sind die Mittel der Beschreibung des gutartigen Verhaltens. Rule Modelling: Hierbei wird zunächst der auftretende Verkehr der Daten studiert. Es folgt der Versuch die normalen Operationen durch das Aufstellen von Regeln zu beschreiben. Bei einem Regelverstoß wird Alarm ausgelöst. Auf mögliche weitere Reaktionen des Systems wird im Kapitel 3.3 genauer eingegangen. Descriptive Statistics: Nach einer Sammlung von einfachen Grenzwerten innerhalb der systemtypischen Operationen wir daraus ein Mittelwert gebildet. Daraufhin folgt die Berechnung der Standardabweichungen. Schließlich kontrolliert man durch einen daraus gebildeten Abstandsvektor (distance vector) die Abweichungen, die im System vorkommen. Bei einer Distanz, die nicht im Toleranzbereich liegt, wird ein Alarm ausgelöst. Künstliches neurales Netz: Das ANN - Netz (artificial neural network) wird zunächst mit dem normalen Verkehr gefüttert. Daraus versucht es Strukturen und Muster (pattern) zu deuten und zu erkennen. Beim Einsatz des ANN wird das aktuelle Muster mit den studierten verglichen. Sind die Strukturen verschieden kommt es zum Alarm.
Lars Langer 151 Programmierte Systeme Programmierte Systeme werden in zwei Kategorien unterschieden. Der gravierende Unterschied liegt bei der Vorgehensweise zur Umschreibung von akzeptablem Verhalten. Statistics: Man bildet ein statistisches Profil des normalen Verhaltens durch die Speicherung und Sammlung einfacher Statistiken. Möglichkeiten hierfür wären die Anzahl von fehlgeschlagenen Logins, die Anzahl der Netzwerkverbindungen oder auch die Anzahl von Kommandos mit negativer Antwort (error return). Es bietet sich an, Alarm zu geben, wenn die Anzahl einen festgelegten Wert überschreitet. Default Deny: Die Idee davon ist, die Umstände, unter denen das System als gutartig eingestuft wird, also alle sicherheitskonformen Zustände, explizit anzugeben. Damit entsteht eine klare Übereinstimmung mit einer Sicherheitspolitik mit vorgegebener Ablehnung jeglichen anderen Verhaltens. Diese Vorgehensweisen sind bzw. enthalten strikte Anweisungen für das System, was ein normales Verhalten sein darf. Jedwede Abweichung von diesem erlaubten Verlauf ist inakzeptabel und führt zu einem Alarm. Problematisch hierbei ist es, dass eine Abweichung vom System kein bösartiges Verhalten sein muss, sondern lediglich Aktionen von neuem normalem Verhalten sein könnten. Deshalb kommt es in Anomaly Detection Systemen zu einer nicht unerheblichen Anzahl von Fehlalarmen. Überblick Dieser Überblick stellt kurz das Pro und Contra gegenüber. Vorteile: Anomaly Detection Systeme sind unabhängig von einer Signaturdatenbank. Deshalb ist es in der Lage alle möglichen Angriffe zu erkennen, ganz gleich, ob der Angriff bereits bekannt ist, oder auf einer neuen Taktik beruht. Nachteile: Der rechentechnische Aufwand ist höher als bei der folgenden Methode (Signature Detection). Darunter leidet die Performance des Systems. Die Fehlalarmrate dieses Systems ist sehr hoch, und neue Aktivitäten können nicht von Angriffen und anderen Anomalien Unterschieden werden. Aufgrund dieser hohen Anfälligkeit für (Fehl )Alarme sind Täuschungen und Denial of Service Angriffe mit geringem Aufwand möglich. Für den Administrator ist diese Tatsache sehr arbeitsaufwendig und wenig tragbar.
Seite 1 und 2:
Mobile Systems III Burkhard STILLER
Seite 3 und 4:
Introduction The Information System
Seite 5:
Inhaltsverzeichnis 5 1 War Driving
Seite 8 und 9:
8 War Driving - An Approach to Loca
Seite 10 und 11:
10 War Driving - An Approach to Loc
Seite 12 und 13:
Seite 14 und 15:
Seite 16 und 17:
Seite 18 und 19:
Seite 20 und 21:
Seite 22 und 23:
Seite 24 und 25:
Seite 26 und 27:
Seite 28 und 29:
Seite 30 und 31:
Seite 32 und 33:
32 Neue VPN-Lösungen Inhaltsverzei
Seite 34 und 35:
34 Neue VPN-Lösungen 2.2 Virtual P
Seite 36 und 37:
36 Neue VPN-Lösungen Gateway-to-Ho
Seite 38 und 39:
38 Neue VPN-Lösungen 2.3.1 Authent
Seite 40 und 41:
40 Neue VPN-Lösungen Die symmetris
Seite 42 und 43:
42 Neue VPN-Lösungen Abbildung 2.9
Seite 44 und 45:
44 Neue VPN-Lösungen Durch diese Z
Seite 46 und 47:
Seite 48 und 49:
Seite 50 und 51:
50 Neue VPN-Lösungen Unterstützun
Seite 52 und 53:
52 Neue VPN-Lösungen [17] http://w
Seite 54 und 55:
54 Realtime Networking in Wireless
Seite 56 und 57:
Seite 58 und 59:
Seite 60 und 61:
Seite 62 und 63:
Seite 64 und 65:
Seite 66 und 67:
Seite 68 und 69:
Seite 70 und 71:
Seite 72 und 73:
Seite 74 und 75:
Seite 76 und 77:
Seite 78 und 79:
78 Micro-Mobility in IP-based Netwo
Seite 80 und 81:
Seite 82 und 83:
Seite 84 und 85:
Seite 86 und 87:
Seite 88 und 89:
Seite 90 und 91:
Seite 92 und 93:
Seite 94 und 95:
Seite 96 und 97:
Seite 98 und 99:
Seite 100 und 101: 100 Micro-Mobility in IP-based Netw
Seite 106 und 107: 106 Quality of Service in Wireless
Seite 120 und 121: Literaturverzeichnis [1] Quality of
Seite 122 und 123: 122 Moderne Konzepte für Sicherhei
Seite 144 und 145: Literaturverzeichnis [1] Schily for
Seite 148 und 149: 148 Intrusion Detection in mobilen
Seite 164 und 165: Literaturverzeichnis [1] S. Axelsso
Seite 166 und 167: 166 Software Environments for Mobil
Seite 190: Literaturverzeichnis [1] GNU Projec
Alle anzeigen

Mobile Systems III INFORMATIK

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?