ESUKOM Best Practice Report
ESUKOM Best Practice Report
ESUKOM Best Practice Report
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Bericht AP5: „<strong>Best</strong>-Practise“-<br />
Dokument<br />
4.3.4 Anwendungsfall 4<br />
Der vierte Anwendungsfall beschäftigt sich mit der Erkennung von Anomalien, also<br />
Abweichungen von einem als „Normal“ definierten Verhaltens. Folgende Komponenten<br />
kommen bei diesem Anwendungsfall zum Einsatz:<br />
<br />
<br />
<br />
<br />
<br />
MAP-Server (irond)<br />
Detection Engine (irondetect)<br />
Patient-Data-Service<br />
Skript zum Publizieren der Standart-Metadaten<br />
Iptables-IF-MAP-Client (Allowance-Komponente)<br />
Die folgenden Ausführungsschritte sind zum Testen dieses Anwendungsfalls<br />
erforderlich:<br />
1. MAP-Server starten<br />
2. Standart-Metadaten mittels Hilfs-Skript veröffentlichen<br />
3. Detection Engine starten (Policy beachten)<br />
4. Patienten-Dienst starten<br />
5. Als nächstes muss mit den Smartphone, welches wieder über einen der beiden<br />
Access Points innerhalb des internen Netzes verbunden ist, auf den Patienten-<br />
Dienst zugreifen. Das häufige Aufrufen dieses Dienstes innerhalb eines kurzen<br />
Zeitfensters führt dazu, dass die Detection Engine eine Anomalie erkennt.<br />
6. Die Auswertung der Metadaten sowie die Erkennung der Anomalie werden, wie<br />
bereits erwähnt, durch die Detection Engine ausgeführt. Diese sollte nach<br />
mehreren Zugriffen innerhalb einer kurzen Zeitspanne wie in Abbildung 11<br />
aufgeführt aussehen.<br />
Abbildung 11 zeigt sämtliche Zugriffe des Clients auf den Patientendienst auf. Die<br />
Zugriffe welche in Rot markiert sind stellen normale Zugriffe dar, welche noch keine<br />
Anomalie darstellen. Nach einigen Zugriffen, welche innerhalb einer gewissen<br />
Zeitspanne durchgeführt wurden, setzt der Zeitpunkt ein, in welchem die Detection-<br />
Engine das Zugriffsverhalten als Anomalie einordnet (zu erkennen an der grünen<br />
Markierung). Anschließend wird ein entsprechender Event von der Detection Engine an<br />
den MAP-Server gesendet und ein Enforcement des jeweiligen Endgerätes mittels<br />
iptables durch die Enforcement-Komponente ausgeführt.<br />
Copyright <strong>ESUKOM</strong>-Konsortium 2010-2012 Seite 23