Mobile Systems III INFORMATIK
Mobile Systems III INFORMATIK
Mobile Systems III INFORMATIK
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Lars Langer 153<br />
Bei Signature Detection Systemen sind Abweichungen, die keinem bekannten Angriff entsprechen,<br />
akzeptabel. Es soll darauf hingewiesen sein, dass man in anderer Literatur möglicherweise<br />
den Begriff Misuse Detection finden kann, der dem Begriff der Signature Detection<br />
entspricht.<br />
Überblick<br />
Hier werden Vor- und Nachteile zusammenfassend dargestellt.<br />
Vorteile:<br />
Ein Signature Detection System ist im Allgemeinen recht schnell und findet zuverlässig<br />
bekannte Angriffssignaturen. Dadurch gilt es weithin als das stärkere der beiden Methoden.<br />
Besonders im Bereich der Online-Überwachung des Verkehrs in Netzwerken wird<br />
vorwiegend auf Signature Detection zurückgegriffen. Außerdem kommt es bei fehlerfreier<br />
Analyse der Auditdaten zu keinem Fehlalarm, da nur bekannte Angriffssignaturen Alarm<br />
auslösen können.<br />
Nachteile:<br />
Da die aufzuspürenden Angriffe komplett bekannt und bereits analysiert sein müssen,<br />
damit die attack signature in der Datenbank zur Verfügung steht, ist diese Methode abhängig<br />
von dieser Datenbank und von ständigen Updates. Unbekannte und neue Angriffe<br />
können bei Signature Detection gefährlich werden, da sie nicht erkannt werden können.<br />
7.2.4 Compound Detection<br />
Hierbei handelt es sich lediglich um ein System, dass von der Methode der Signature<br />
Detection abgeleitet wurde. Der Begriff ’signature inspired’ ist daher auch häufig diesbezüglich<br />
in anderer Literatur zu finden[1]. Tatsächlich jedoch zieht dieses Verfahren beide<br />
Methoden zu Rate, sowohl Anomaly Detection als auch Signature Detection. Eine mögliche<br />
Anwendung wäre wie folgt[4]. Dieses ID System sucht im beobachteten Bereich nach<br />
Anomalien. Sobald es solche Abweichungen vom normalen Verhalten gibt, werden die<br />
betroffenen Daten nach attack signatures durchsucht. Somit können auch unbekannte<br />
Angriffe einen Alarm auslösen, und es besteht die Möglichkeit verschiedene Alarmstufen<br />
zu integrieren. Dieses Verfahren bietet demnach eine deutlich bessere Chance wirklich interessante<br />
Ereignisse zu entdecken, da sowohl ein Vergleich zwischen aktuellem Verhalten<br />
und normalem Verhalten, als auch zwischen aktuellem Verhalten und bösartigem Verhalten<br />
gemacht wird. Andererseits besteht auch die Möglichkeit durch das Anwenden beider<br />
Methoden eine bessere Abstimmung zwischen normalem und bösartigem Verhalten zu erzielen,<br />
und in Strukturen oder Regeln festzuhalten. Üblicherweise sind solche Verfahren<br />
selbstlernend[1].