Skip to main content
Fachgebiete
Automobil + Motoren Bauwesen + Immobilien Business IT + Informatik Elektrotechnik + Elektronik Energie + Nachhaltigkeit Finance + Banking Management + Führung Marketing + Vertrieb Maschinenbau + Werkstoffe Versicherung + Risiko
DE
EN
Bücher
Zeitschriften
Themenseiten
Organisationspsychologie Projektmanagement Marketing Smart Manufacturing
Weitere Formate
Podcasts Webinare Technik Webinare Wirtschaft Kongresse Veranstaltungskalender Awards
Jetzt Einzelzugang starten
Zugang für Unternehmen
Referenzkunden
SLX-Digitalkonferenz: Zukunftswerkstatt 2024

Mehr Umsatz mit Top-Kontakten

Am 7. Mai erfahren Sie, wie Vertriebsteams Leadgenerierung, Leadnurturing und Leadstrategien effizient steuern können.
Erweiterte Suche
Anmelden
nach oben
Erschienen in:
Einleitung zum Cyber Attack Information System Kapitel lesen Erstes Kapitel lesen

2015 | OriginalPaper | Buchkapitel

5. Erkennen von Anomalien und Angriffsmustern

verfasst von : Roman Fiedler, Florian Skopik, Thomas Mandl, Kurt Einzinger

Erschienen in: Cyber Attack Information System

Verlag: Springer Berlin Heidelberg

Einloggen

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config
loading …

Zusammenfassung

Nachdem Umfang und Dynamik von Cyberangriffen rasant zunehmen und vor allem moderne Bedrohungsszenarien, sogenannte Advanced Persistent Threats (APTs), die Grenzen herkömmlicher Schutzmechanismen wie Firewalls oder Virenscanner, vor allem beim Schutz kritischer Infrastrukturen, aufzeigen wurde für unser CAIS ein spezieller Anomalieerkennungsansatz entwickelt. Dabei werden die von den unterschiedlichen IT-Applikationen generierten Logging-Daten analysiert. Mit den verfügbaren Logging-Daten eines IT Systems wird zuerst ein Systemmodel aufgebaut, welches dann ständig gegen den aktuellen Logdatenstrom geprüft wird. Sobald eine signifikante Abweichung festgestellt wird – d.h. eine Anomalie - kann ein Administrator auf das Problem hingewiesen werden. Dieser Mechanismus funktioniert unabhängig davon ob die Ursache ein Angriff mit unbekanntem Schadcode, eine Manipulation mit gestohlenen Zugangsdaten oder eine technische Störung des Systems war. Da die verarbeiteten Logdaten oft auch personenbezogene Daten wie z.B. IP-Adressen oder eMailadressen enthalten können, muss das System auch rechtliche Datenschutzaspekte adäquat berücksichtigen. Deshalb wurde der entwickelte Algorithmus als auch die verarbeiteten Daten anhand der derzeit geltenden Rechtslage bewertet.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

  • über 102.000 Bücher
  • über 537 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Maschinenbau + Werkstoffe
  • Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 390 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Maschinenbau + Werkstoffe




 

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 340 Zeitschriften

aus folgenden Fachgebieten:

  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Versicherung + Risiko




Jetzt Wissensvorsprung sichern!

Jetzt informieren
Vorheriges Kapitel Modellierung und Simulation kritischer IKT-Infrastrukturen und deren Abhängigkeiten
Nächstes Kapitel Evaluierung von CAIS im praktischen Einsatz
Fußnoten
1
Teile dieses Kapitels basieren auf: Skopik F., Fiedler R. (2013): Intrusion Detection in Distributed Systems using Fingerprinting and Massive Event Correlation. 43. Jahrestagung der Gesellschaft für Informatik e. V. (GI) (INFORMATIK 2013), September 16–20, 2013, Koblenz, Germany. GI.
 
2
Ask the Expert: Roel Schouwenberg Explains the State of Malware Threats: http://​blog.​kaspersky.​com/​ask-the-expert-roel-schouwenberg/​, 2013, letzter Zugriff: 1. November 2014.
 
3
Kaspersky Lab Identifies Operation „Red October“, an Advanced Cyber-Espionage Campaign Targeting Diplomatic and Government Institutions Worldwide: http://​www.​kaspersky.​com/​about/​news/​virus/​2013/​Kaspersky_​Lab_​Identifies_​Operation_​Red_​October_​an_​Advanced_​Cyber_​Espionage_​Campaign_​Targeting_​Diplomatic_​and_​Government_​Institutions_​Worldwide, letzter Zugriff: 1. November 2014.
 
4
https://​anubis.​iseclab.​org/​, letzter Zugriff: 1. November 2014.
 
5
Heise Zeitschriftenverlag, Darren Martyn: Schädlinge im Sandkasten, c’t 18/2013.
 
6
Leyla Bilge, Thorsten Strufe, Davide Balzarotti, and Engin Kirda. All Your Contacts Are Belong to
Us: Automated Identity Theft Attacks on Social Networks. In WWW, pages 551–560. ACM, 2009.
 
7
Peng Li, Chaoyang Zhang, Edward J. Perkins, Ping Gong, and Youping Deng. Comparison of probabilistic boolean network and dynamic bayesian network approaches for inferring gene regulatory networks. BMC Bioinformatics, 8(S-7), 2007.
 
8
David W. Mount. Bioinformatics: sequence and genome analysis. CSHL press, 2004.
 
9
Ebd.
 
10
Alignment „[…] is a way of arranging the sequences to identify regions of similarity that may be a consequence of functional, structural, or evolutionary relationships between the sequences“.
 
11
Auch eingereicht als Patent: ÖPA A 50292 2013 Algorithmus zur Anomaliedetektion.
 
12
http://​tools.​ietf.​org/​html/​rfc5424, letzter Zugriff: 1. November 2014.
 
13
http://​graylog2.​org/​, letzter Zugriff: 1. November 2014.
 
14
Halfond, William GJ, and Alessandro Orso. „AMNESIA: analysis and monitoring for NEutralizing SQL-injection attacks.“ Proceedings of the 20th IEEE/ACM international Conference on Automated software engineering. ACM, 2005.
 
15
http://​www.​alienvault.​com/​open-threat-exchange, letzter Zugriff: 1. November 2014.
 
16
Das individuell eingestellte Caching Verhalten des Browsers ist hier wider Erwarten kein allzu ernstes Problem. Falls der Algorithmus keine passenden und zutreffenden Hypothesen bilden kann, welche das Zugriffsverhalten auf cached Ressourcen charakterisiert, dann werden diese Log-Zeilen nur wenig bis gar keinen Einfluss auf den berechneten Anomalie-Grad haben. Wenn aber das Caching auch neuartige Muster in das System einbringt, z. B. alle organisationsinternen Browser verwenden Caching und erfragen Ressourcen nur ein mal pro Session, dann kann das Erhalten einer „304 not modified“-Antwort ungewöhnliches Verhalten sein, welches von einem Browser mit einer nicht organisations-konformen Konfiguration verursacht wurde (oder auch von z. B. wget). Damit wird dann bei Verletzung wiederum eine Anomalie erkannt und ein Alarm getriggert.
 
17
Die Genauigkeit der Zeitstempel in den Log-Daten beträgt zumindest eine Sekunde.
 
18
Diese Werte sind von der Dynamik und des Verhaltens des Gesamtsystems abhängig. Sie können entweder manuell festgelegt werden, sofern die Dynamik bestimmbar ist, oder auch automatisiert adaptiert werden. Letzteres erfordert dann jedoch eine ungleich höhere Datenbasis.
 
Metadaten
Titel
Erkennen von Anomalien und Angriffsmustern
verfasst von
Roman Fiedler
Florian Skopik
Thomas Mandl
Kurt Einzinger
Copyright-Jahr
2015
Verlag
Springer Berlin Heidelberg
Buch
Cyber Attack Information System

Print ISBN: 978-3-662-44305-7

Electronic ISBN: 978-3-662-44306-4

Copyright-Jahr: 2015

DOI
https://doi.org/10.1007/978-3-662-44306-4_5