Mobile Systems III INFORMATIK
Mobile Systems III INFORMATIK
Mobile Systems III INFORMATIK
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
152 Intrusion Detection in mobilen Netzwerken<br />
7.2.3 Signature Detection<br />
Diese Methode geht davon aus, dass ein bestimmter Angriff nach einem ganz bestimmten<br />
Muster folgt. Verschiedenartige Angriffe haben dementsprechend verschiedene Muster.<br />
Beispielsweise verursacht eine synchronization-flood Attacke viele unbeantwortete TCP<br />
Synchronisationspakete. Solche Strukturen, genannt Angriffssignatur (attack signature),<br />
versucht das Signature Detection System in den Auditdaten zu finden. Vorraussetzung<br />
dafür ist jedoch, dass der Angriff bereits zuvor bekannt geworden ist, und seine Signatur<br />
in der Datenbank des gegenwärtigen ID <strong>Systems</strong> enthalten ist. Im Bereich der Signature<br />
Detection Methoden gibt es derzeit noch einen großen Nachholbedarf bei den selbstlernenden<br />
Systemen. Es werden derzeit nur programmierte Vorgehensweisen angewandt, die<br />
im Folgenden erklärt werden[1].<br />
Programmierte Systeme<br />
Programmierte Systeme in der Signature Detection können in vier Kategorien unterschieden<br />
werden. Im Gegensatz zu Anomalie Detection geht es hierbei um die Unterscheidung<br />
der Mittel zur Beschreibung des bösartigen Verhaltens.<br />
State Modelling:<br />
Bei dieser Vorgehensweise existieren mehrere Zustände, die einen Alarm auslösen können.<br />
Wichtig dabei ist, dass jeder dieser Zustände im beobachteten Bereich existent gewesen<br />
sein muss, damit man mit Sicherheit feststellen kann, dass ein Eingriff stattgefunden hat.<br />
Die Anordnung der Zustände kann im günstigsten Fall als einfache Kette ablaufen, es sind<br />
jedoch auch verzweigtere Gebilde möglich, beispielsweise Baumstrukturen oder Petrinetze.<br />
Expert System:<br />
Die Entscheidung eines Experten <strong>Systems</strong> basiert auf einer Menge von komplexen gegebenen<br />
Regeln. Diese Vorgehensweise ist am angemessensten, wenn im System ständig neue<br />
Fakten und zu prüfende Ereignisse stattfinden. Dadurch, dass es das Experten System<br />
auch ermöglicht selbstmodifizierenden bösartigen Code eines Angriffs aufzuspüren, ist es<br />
eine der mächtigsten Möglichkeiten der Intrusion Detection. Weiterhin bietet es durch<br />
seine Regelbasiertheit einen hohen Grad an Flexibilität. Doch diese Vorteile fordern auch<br />
einen Preis. Experten Systeme verzeichnen hohe Verluste in der Performance des kontrollierten<br />
<strong>Systems</strong>, nicht zuletzt aufgrund der Komplexität der Regeln.<br />
Simple rule based:<br />
Diese Systeme ähneln den mächtigeren Experten Systemen. Da hier mehr Wert auf die<br />
Performance des <strong>Systems</strong> gelegt wurde, verzichtet man darauf, solch komplexe Regeln zu<br />
verwenden.<br />
String Matching:<br />
Hierbei handelt es sich um ein Verfahren, das die Bitfolgen bzw. den Text der zwischen<br />
mehreren Systemen übermittelt wird zu durchsuchen um eventuelle kleinere Bitfolgen und<br />
Strings darin zu finden, die einem Angriff aus der Datenbank zugeordnet werden können.