Mobile Systems III INFORMATIK
Mobile Systems III INFORMATIK
Mobile Systems III INFORMATIK
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Lars Langer 151<br />
Programmierte Systeme<br />
Programmierte Systeme werden in zwei Kategorien unterschieden. Der gravierende Unterschied<br />
liegt bei der Vorgehensweise zur Umschreibung von akzeptablem Verhalten.<br />
Statistics:<br />
Man bildet ein statistisches Profil des normalen Verhaltens durch die Speicherung und<br />
Sammlung einfacher Statistiken. Möglichkeiten hierfür wären die Anzahl von fehlgeschlagenen<br />
Logins, die Anzahl der Netzwerkverbindungen oder auch die Anzahl von Kommandos<br />
mit negativer Antwort (error return). Es bietet sich an, Alarm zu geben, wenn die<br />
Anzahl einen festgelegten Wert überschreitet.<br />
Default Deny:<br />
Die Idee davon ist, die Umstände, unter denen das System als gutartig eingestuft wird, also<br />
alle sicherheitskonformen Zustände, explizit anzugeben. Damit entsteht eine klare Übereinstimmung<br />
mit einer Sicherheitspolitik mit vorgegebener Ablehnung jeglichen anderen<br />
Verhaltens.<br />
Diese Vorgehensweisen sind bzw. enthalten strikte Anweisungen für das System, was ein<br />
normales Verhalten sein darf. Jedwede Abweichung von diesem erlaubten Verlauf ist inakzeptabel<br />
und führt zu einem Alarm. Problematisch hierbei ist es, dass eine Abweichung<br />
vom System kein bösartiges Verhalten sein muss, sondern lediglich Aktionen von neuem<br />
normalem Verhalten sein könnten. Deshalb kommt es in Anomaly Detection Systemen zu<br />
einer nicht unerheblichen Anzahl von Fehlalarmen.<br />
Überblick<br />
Dieser Überblick stellt kurz das Pro und Contra gegenüber.<br />
Vorteile:<br />
Anomaly Detection Systeme sind unabhängig von einer Signaturdatenbank. Deshalb ist<br />
es in der Lage alle möglichen Angriffe zu erkennen, ganz gleich, ob der Angriff bereits<br />
bekannt ist, oder auf einer neuen Taktik beruht.<br />
Nachteile:<br />
Der rechentechnische Aufwand ist höher als bei der folgenden Methode (Signature Detection).<br />
Darunter leidet die Performance des <strong>Systems</strong>. Die Fehlalarmrate dieses <strong>Systems</strong><br />
ist sehr hoch, und neue Aktivitäten können nicht von Angriffen und anderen Anomalien<br />
Unterschieden werden. Aufgrund dieser hohen Anfälligkeit für (Fehl )Alarme sind<br />
Täuschungen und Denial of Service Angriffe mit geringem Aufwand möglich. Für den<br />
Administrator ist diese Tatsache sehr arbeitsaufwendig und wenig tragbar.