Skip to main content
main-content
Top

Hint

Swipe to navigate through the chapters of this book

2015 | OriginalPaper | Chapter

5. Erkennen von Anomalien und Angriffsmustern

Authors: Roman Fiedler, Florian Skopik, Thomas Mandl, Kurt Einzinger

Published in: Cyber Attack Information System

Publisher: Springer Berlin Heidelberg

share
SHARE

Zusammenfassung

Nachdem Umfang und Dynamik von Cyberangriffen rasant zunehmen und vor allem moderne Bedrohungsszenarien, sogenannte Advanced Persistent Threats (APTs), die Grenzen herkömmlicher Schutzmechanismen wie Firewalls oder Virenscanner, vor allem beim Schutz kritischer Infrastrukturen, aufzeigen wurde für unser CAIS ein spezieller Anomalieerkennungsansatz entwickelt. Dabei werden die von den unterschiedlichen IT-Applikationen generierten Logging-Daten analysiert. Mit den verfügbaren Logging-Daten eines IT Systems wird zuerst ein Systemmodel aufgebaut, welches dann ständig gegen den aktuellen Logdatenstrom geprüft wird. Sobald eine signifikante Abweichung festgestellt wird – d.h. eine Anomalie - kann ein Administrator auf das Problem hingewiesen werden. Dieser Mechanismus funktioniert unabhängig davon ob die Ursache ein Angriff mit unbekanntem Schadcode, eine Manipulation mit gestohlenen Zugangsdaten oder eine technische Störung des Systems war. Da die verarbeiteten Logdaten oft auch personenbezogene Daten wie z.B. IP-Adressen oder eMailadressen enthalten können, muss das System auch rechtliche Datenschutzaspekte adäquat berücksichtigen. Deshalb wurde der entwickelte Algorithmus als auch die verarbeiteten Daten anhand der derzeit geltenden Rechtslage bewertet.
Footnotes
1
Teile dieses Kapitels basieren auf: Skopik F., Fiedler R. (2013): Intrusion Detection in Distributed Systems using Fingerprinting and Massive Event Correlation. 43. Jahrestagung der Gesellschaft für Informatik e. V. (GI) (INFORMATIK 2013), September 16–20, 2013, Koblenz, Germany. GI.
 
2
Ask the Expert: Roel Schouwenberg Explains the State of Malware Threats: http://​blog.​kaspersky.​com/​ask-the-expert-roel-schouwenberg/​, 2013, letzter Zugriff: 1. November 2014.
 
3
Kaspersky Lab Identifies Operation „Red October“, an Advanced Cyber-Espionage Campaign Targeting Diplomatic and Government Institutions Worldwide: http://​www.​kaspersky.​com/​about/​news/​virus/​2013/​Kaspersky_​Lab_​Identifies_​Operation_​Red_​October_​an_​Advanced_​Cyber_​Espionage_​Campaign_​Targeting_​Diplomatic_​and_​Government_​Institutions_​Worldwide, letzter Zugriff: 1. November 2014.
 
4
https://​anubis.​iseclab.​org/​, letzter Zugriff: 1. November 2014.
 
5
Heise Zeitschriftenverlag, Darren Martyn: Schädlinge im Sandkasten, c’t 18/2013.
 
6
Leyla Bilge, Thorsten Strufe, Davide Balzarotti, and Engin Kirda. All Your Contacts Are Belong to
Us: Automated Identity Theft Attacks on Social Networks. In WWW, pages 551–560. ACM, 2009.
 
7
Peng Li, Chaoyang Zhang, Edward J. Perkins, Ping Gong, and Youping Deng. Comparison of probabilistic boolean network and dynamic bayesian network approaches for inferring gene regulatory networks. BMC Bioinformatics, 8(S-7), 2007.
 
8
David W. Mount. Bioinformatics: sequence and genome analysis. CSHL press, 2004.
 
9
Ebd.
 
10
Alignment „[…] is a way of arranging the sequences to identify regions of similarity that may be a consequence of functional, structural, or evolutionary relationships between the sequences“.
 
11
Auch eingereicht als Patent: ÖPA A 50292 2013 Algorithmus zur Anomaliedetektion.
 
12
http://​tools.​ietf.​org/​html/​rfc5424, letzter Zugriff: 1. November 2014.
 
13
http://​graylog2.​org/​, letzter Zugriff: 1. November 2014.
 
14
Halfond, William GJ, and Alessandro Orso. „AMNESIA: analysis and monitoring for NEutralizing SQL-injection attacks.“ Proceedings of the 20th IEEE/ACM international Conference on Automated software engineering. ACM, 2005.
 
15
 
16
Das individuell eingestellte Caching Verhalten des Browsers ist hier wider Erwarten kein allzu ernstes Problem. Falls der Algorithmus keine passenden und zutreffenden Hypothesen bilden kann, welche das Zugriffsverhalten auf cached Ressourcen charakterisiert, dann werden diese Log-Zeilen nur wenig bis gar keinen Einfluss auf den berechneten Anomalie-Grad haben. Wenn aber das Caching auch neuartige Muster in das System einbringt, z. B. alle organisationsinternen Browser verwenden Caching und erfragen Ressourcen nur ein mal pro Session, dann kann das Erhalten einer „304 not modified“-Antwort ungewöhnliches Verhalten sein, welches von einem Browser mit einer nicht organisations-konformen Konfiguration verursacht wurde (oder auch von z. B. wget). Damit wird dann bei Verletzung wiederum eine Anomalie erkannt und ein Alarm getriggert.
 
17
Die Genauigkeit der Zeitstempel in den Log-Daten beträgt zumindest eine Sekunde.
 
18
Diese Werte sind von der Dynamik und des Verhaltens des Gesamtsystems abhängig. Sie können entweder manuell festgelegt werden, sofern die Dynamik bestimmbar ist, oder auch automatisiert adaptiert werden. Letzteres erfordert dann jedoch eine ungleich höhere Datenbasis.
 
Metadata
Title
Erkennen von Anomalien und Angriffsmustern
Authors
Roman Fiedler
Florian Skopik
Thomas Mandl
Kurt Einzinger
Copyright Year
2015
Publisher
Springer Berlin Heidelberg
DOI
https://doi.org/10.1007/978-3-662-44306-4_5

Premium Partner