Mobile Systems III INFORMATIK
Mobile Systems III INFORMATIK
Mobile Systems III INFORMATIK
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
156 Intrusion Detection in mobilen Netzwerken<br />
7.3.2 Online und Offline Modus<br />
Hier wird unterschieden, ob das IDS permanent oder sporadisch auf die zu prüfenden<br />
Daten angewendet wird.<br />
Online:<br />
Ein ID System läuft online, wenn eine permanente Überwachung des aktuellen Verkehrs<br />
vollzogen wird[1]. Hierbei unterscheidet man zwischen zwei Arten der Online-Überwachung.<br />
Die erste ist die Kontinuierliche. Das heißt, dass die produzierten Auditdaten unmittelbar<br />
der Prüfung auf Angriffe oder Anomalien unterzogen werden, ohne vorher zwischengespeichert<br />
zu werden. Die zweite Art läuft gestapelt ab. Hierbei werden innerhalb kurzer<br />
Perioden die anfallenden Auditdaten zwischengespeichert und nach Ablauf dieser Perioden<br />
gesammelt der Prüfung unterzogen. Die Periodendauer ist dabei maximal einige<br />
Sekunden lang.<br />
Offline:<br />
Hier geht es darum die Logfiles und Protokolle des <strong>Systems</strong> oder eines Users jeweils nach<br />
einer längeren Arbeitsphase, beispielsweise einmal pro Tag, auf Einträge zu untersuchen,<br />
die einem Eingriff in das System entsprechen könnten[1]. Nachteil davon ist, dass man nicht<br />
die Möglichkeit hat zu reagieren und Schadensbegrenzung zu betreiben. Es ermöglicht<br />
aber gleichzeitig, dass die Logfiles gegebenenfalls mehrfach durchsucht werden können,<br />
um komplexere und verteiltere Angriffe lokalisieren zu können.<br />
7.3.3 Intrusion Response<br />
Es handelt sich bei Intrusion Response um die Maßnahmen des <strong>Systems</strong>, die unternommen<br />
werden können, wenn ein Angriff oder eine Anomalie erkannt worden ist. Problematisch ist<br />
dabei, dass Anomalien möglicherweise auch neue normale Aktivitäten sein können, da es<br />
im Bereich von Anomaly Detection zu häufigen Fehlalarmen kommen kann. Diesbezüglich<br />
sind die Studien noch sehr rar und erlauben derzeit noch keine akzeptable Fehlalarmbehandlung<br />
bzw. -vermeidung. Im Folgenden wird auf die Maßnahmen eingegangen die das<br />
Intrusion Detection System bei einem Eindringen in das System ergreifen könnte[1].<br />
Passiv:<br />
Ein passives ID System wird bei Alarm den Administrator verständigen, und ihm bei<br />
Bedarf die Informationen zukommen lassen, die das System über den Angriff in Erfahrung<br />
bringen konnte. Maßnahmen um gegen den Angriff vorzugehen werden nicht getroffen.