ESUKOM Best Practice Report

Bericht AP5: „Best-Practise“-
Dokument
4.3.4 Anwendungsfall 4
Der vierte Anwendungsfall beschäftigt sich mit der Erkennung von Anomalien, also
Abweichungen von einem als „Normal“ definierten Verhaltens. Folgende Komponenten
kommen bei diesem Anwendungsfall zum Einsatz:
MAP-Server (irond)
Detection Engine (irondetect)
Patient-Data-Service
Skript zum Publizieren der Standart-Metadaten
Iptables-IF-MAP-Client (Allowance-Komponente)
Die folgenden Ausführungsschritte sind zum Testen dieses Anwendungsfalls
erforderlich:
1. MAP-Server starten
2. Standart-Metadaten mittels Hilfs-Skript veröffentlichen
3. Detection Engine starten (Policy beachten)
4. Patienten-Dienst starten
5. Als nächstes muss mit den Smartphone, welches wieder über einen der beiden
Access Points innerhalb des internen Netzes verbunden ist, auf den Patienten-
Dienst zugreifen. Das häufige Aufrufen dieses Dienstes innerhalb eines kurzen
Zeitfensters führt dazu, dass die Detection Engine eine Anomalie erkennt.
6. Die Auswertung der Metadaten sowie die Erkennung der Anomalie werden, wie
bereits erwähnt, durch die Detection Engine ausgeführt. Diese sollte nach
mehreren Zugriffen innerhalb einer kurzen Zeitspanne wie in Abbildung 11
aufgeführt aussehen.
Abbildung 11 zeigt sämtliche Zugriffe des Clients auf den Patientendienst auf. Die
Zugriffe welche in Rot markiert sind stellen normale Zugriffe dar, welche noch keine
Anomalie darstellen. Nach einigen Zugriffen, welche innerhalb einer gewissen
Zeitspanne durchgeführt wurden, setzt der Zeitpunkt ein, in welchem die Detection-
Engine das Zugriffsverhalten als Anomalie einordnet (zu erkennen an der grünen
Markierung). Anschließend wird ein entsprechender Event von der Detection Engine an
den MAP-Server gesendet und ein Enforcement des jeweiligen Endgerätes mittels
iptables durch die Enforcement-Komponente ausgeführt.
Copyright ESUKOM-Konsortium 2010-2012 Seite 23