Mobile Systems III INFORMATIK

Weitere Magazine

Empfehlungen

Info

152 Intrusion Detection in mobilen Netzwerken 7.2.3 Signature Detection Diese Methode geht davon aus, dass ein bestimmter Angriff nach einem ganz bestimmten Muster folgt. Verschiedenartige Angriffe haben dementsprechend verschiedene Muster. Beispielsweise verursacht eine synchronization-flood Attacke viele unbeantwortete TCP Synchronisationspakete. Solche Strukturen, genannt Angriffssignatur (attack signature), versucht das Signature Detection System in den Auditdaten zu finden. Vorraussetzung dafür ist jedoch, dass der Angriff bereits zuvor bekannt geworden ist, und seine Signatur in der Datenbank des gegenwärtigen ID Systems enthalten ist. Im Bereich der Signature Detection Methoden gibt es derzeit noch einen großen Nachholbedarf bei den selbstlernenden Systemen. Es werden derzeit nur programmierte Vorgehensweisen angewandt, die im Folgenden erklärt werden[1]. Programmierte Systeme Programmierte Systeme in der Signature Detection können in vier Kategorien unterschieden werden. Im Gegensatz zu Anomalie Detection geht es hierbei um die Unterscheidung der Mittel zur Beschreibung des bösartigen Verhaltens. State Modelling: Bei dieser Vorgehensweise existieren mehrere Zustände, die einen Alarm auslösen können. Wichtig dabei ist, dass jeder dieser Zustände im beobachteten Bereich existent gewesen sein muss, damit man mit Sicherheit feststellen kann, dass ein Eingriff stattgefunden hat. Die Anordnung der Zustände kann im günstigsten Fall als einfache Kette ablaufen, es sind jedoch auch verzweigtere Gebilde möglich, beispielsweise Baumstrukturen oder Petrinetze. Expert System: Die Entscheidung eines Experten Systems basiert auf einer Menge von komplexen gegebenen Regeln. Diese Vorgehensweise ist am angemessensten, wenn im System ständig neue Fakten und zu prüfende Ereignisse stattfinden. Dadurch, dass es das Experten System auch ermöglicht selbstmodifizierenden bösartigen Code eines Angriffs aufzuspüren, ist es eine der mächtigsten Möglichkeiten der Intrusion Detection. Weiterhin bietet es durch seine Regelbasiertheit einen hohen Grad an Flexibilität. Doch diese Vorteile fordern auch einen Preis. Experten Systeme verzeichnen hohe Verluste in der Performance des kontrollierten Systems, nicht zuletzt aufgrund der Komplexität der Regeln. Simple rule based: Diese Systeme ähneln den mächtigeren Experten Systemen. Da hier mehr Wert auf die Performance des Systems gelegt wurde, verzichtet man darauf, solch komplexe Regeln zu verwenden. String Matching: Hierbei handelt es sich um ein Verfahren, das die Bitfolgen bzw. den Text der zwischen mehreren Systemen übermittelt wird zu durchsuchen um eventuelle kleinere Bitfolgen und Strings darin zu finden, die einem Angriff aus der Datenbank zugeordnet werden können.
Lars Langer 153 Bei Signature Detection Systemen sind Abweichungen, die keinem bekannten Angriff entsprechen, akzeptabel. Es soll darauf hingewiesen sein, dass man in anderer Literatur möglicherweise den Begriff Misuse Detection finden kann, der dem Begriff der Signature Detection entspricht. Überblick Hier werden Vor- und Nachteile zusammenfassend dargestellt. Vorteile: Ein Signature Detection System ist im Allgemeinen recht schnell und findet zuverlässig bekannte Angriffssignaturen. Dadurch gilt es weithin als das stärkere der beiden Methoden. Besonders im Bereich der Online-Überwachung des Verkehrs in Netzwerken wird vorwiegend auf Signature Detection zurückgegriffen. Außerdem kommt es bei fehlerfreier Analyse der Auditdaten zu keinem Fehlalarm, da nur bekannte Angriffssignaturen Alarm auslösen können. Nachteile: Da die aufzuspürenden Angriffe komplett bekannt und bereits analysiert sein müssen, damit die attack signature in der Datenbank zur Verfügung steht, ist diese Methode abhängig von dieser Datenbank und von ständigen Updates. Unbekannte und neue Angriffe können bei Signature Detection gefährlich werden, da sie nicht erkannt werden können. 7.2.4 Compound Detection Hierbei handelt es sich lediglich um ein System, dass von der Methode der Signature Detection abgeleitet wurde. Der Begriff ’signature inspired’ ist daher auch häufig diesbezüglich in anderer Literatur zu finden[1]. Tatsächlich jedoch zieht dieses Verfahren beide Methoden zu Rate, sowohl Anomaly Detection als auch Signature Detection. Eine mögliche Anwendung wäre wie folgt[4]. Dieses ID System sucht im beobachteten Bereich nach Anomalien. Sobald es solche Abweichungen vom normalen Verhalten gibt, werden die betroffenen Daten nach attack signatures durchsucht. Somit können auch unbekannte Angriffe einen Alarm auslösen, und es besteht die Möglichkeit verschiedene Alarmstufen zu integrieren. Dieses Verfahren bietet demnach eine deutlich bessere Chance wirklich interessante Ereignisse zu entdecken, da sowohl ein Vergleich zwischen aktuellem Verhalten und normalem Verhalten, als auch zwischen aktuellem Verhalten und bösartigem Verhalten gemacht wird. Andererseits besteht auch die Möglichkeit durch das Anwenden beider Methoden eine bessere Abstimmung zwischen normalem und bösartigem Verhalten zu erzielen, und in Strukturen oder Regeln festzuhalten. Üblicherweise sind solche Verfahren selbstlernend[1].
Seite 1 und 2:
Mobile Systems III Burkhard STILLER
Seite 3 und 4:
Introduction The Information System
Seite 5:
Inhaltsverzeichnis 5 1 War Driving
Seite 8 und 9:
8 War Driving - An Approach to Loca
Seite 10 und 11:
10 War Driving - An Approach to Loc
Seite 12 und 13:
Seite 14 und 15:
Seite 16 und 17:
Seite 18 und 19:
Seite 20 und 21:
Seite 22 und 23:
Seite 24 und 25:
Seite 26 und 27:
Seite 28 und 29:
Seite 30 und 31:
Seite 32 und 33:
32 Neue VPN-Lösungen Inhaltsverzei
Seite 34 und 35:
34 Neue VPN-Lösungen 2.2 Virtual P
Seite 36 und 37:
36 Neue VPN-Lösungen Gateway-to-Ho
Seite 38 und 39:
38 Neue VPN-Lösungen 2.3.1 Authent
Seite 40 und 41:
40 Neue VPN-Lösungen Die symmetris
Seite 42 und 43:
42 Neue VPN-Lösungen Abbildung 2.9
Seite 44 und 45:
44 Neue VPN-Lösungen Durch diese Z
Seite 46 und 47:
Seite 48 und 49:
Seite 50 und 51:
50 Neue VPN-Lösungen Unterstützun
Seite 52 und 53:
52 Neue VPN-Lösungen [17] http://w
Seite 54 und 55:
54 Realtime Networking in Wireless
Seite 56 und 57:
Seite 58 und 59:
Seite 60 und 61:
Seite 62 und 63:
Seite 64 und 65:
Seite 66 und 67:
Seite 68 und 69:
Seite 70 und 71:
Seite 72 und 73:
Seite 74 und 75:
Seite 76 und 77:
Seite 78 und 79:
78 Micro-Mobility in IP-based Netwo
Seite 80 und 81:
Seite 82 und 83:
Seite 84 und 85:
Seite 86 und 87:
Seite 88 und 89:
Seite 90 und 91:
Seite 92 und 93:
Seite 94 und 95:
Seite 96 und 97:
Seite 98 und 99:
Seite 100 und 101:
100 Micro-Mobility in IP-based Netw
Seite 102 und 103: 102 Micro-Mobility in IP-based Netw
Seite 104 und 105: 104 Micro-Mobility in IP-based Netw
Seite 106 und 107: 106 Quality of Service in Wireless
Seite 120 und 121: Literaturverzeichnis [1] Quality of
Seite 122 und 123: 122 Moderne Konzepte für Sicherhei
Seite 144 und 145: Literaturverzeichnis [1] Schily for
Seite 148 und 149: 148 Intrusion Detection in mobilen
Seite 164 und 165: Literaturverzeichnis [1] S. Axelsso
Seite 166 und 167: 166 Software Environments for Mobil
Seite 190: Literaturverzeichnis [1] GNU Projec
Alle anzeigen

Mobile Systems III INFORMATIK

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?