Skip to main content
main-content

Tipp

Weitere Kapitel dieses Buchs durch Wischen aufrufen

2015 | OriginalPaper | Buchkapitel

5. Erkennen von Anomalien und Angriffsmustern

verfasst von: Roman Fiedler, Florian Skopik, Thomas Mandl, Kurt Einzinger

Erschienen in: Cyber Attack Information System

Verlag: Springer Berlin Heidelberg

share
TEILEN

Zusammenfassung

Nachdem Umfang und Dynamik von Cyberangriffen rasant zunehmen und vor allem moderne Bedrohungsszenarien, sogenannte Advanced Persistent Threats (APTs), die Grenzen herkömmlicher Schutzmechanismen wie Firewalls oder Virenscanner, vor allem beim Schutz kritischer Infrastrukturen, aufzeigen wurde für unser CAIS ein spezieller Anomalieerkennungsansatz entwickelt. Dabei werden die von den unterschiedlichen IT-Applikationen generierten Logging-Daten analysiert. Mit den verfügbaren Logging-Daten eines IT Systems wird zuerst ein Systemmodel aufgebaut, welches dann ständig gegen den aktuellen Logdatenstrom geprüft wird. Sobald eine signifikante Abweichung festgestellt wird – d.h. eine Anomalie - kann ein Administrator auf das Problem hingewiesen werden. Dieser Mechanismus funktioniert unabhängig davon ob die Ursache ein Angriff mit unbekanntem Schadcode, eine Manipulation mit gestohlenen Zugangsdaten oder eine technische Störung des Systems war. Da die verarbeiteten Logdaten oft auch personenbezogene Daten wie z.B. IP-Adressen oder eMailadressen enthalten können, muss das System auch rechtliche Datenschutzaspekte adäquat berücksichtigen. Deshalb wurde der entwickelte Algorithmus als auch die verarbeiteten Daten anhand der derzeit geltenden Rechtslage bewertet.

Sie möchten Zugang zu diesem Inhalt erhalten? Dann informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

  • über 69.000 Bücher
  • über 500 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Maschinenbau + Werkstoffe
  • Versicherung + Risiko

Testen Sie jetzt 15 Tage kostenlos.

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

  • über 50.000 Bücher
  • über 380 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Maschinenbau + Werkstoffe




Testen Sie jetzt 15 Tage kostenlos.

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

  • über 58.000 Bücher
  • über 300 Zeitschriften

aus folgenden Fachgebieten:

  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Versicherung + Risiko




Testen Sie jetzt 15 Tage kostenlos.

Fußnoten
1
Teile dieses Kapitels basieren auf: Skopik F., Fiedler R. (2013): Intrusion Detection in Distributed Systems using Fingerprinting and Massive Event Correlation. 43. Jahrestagung der Gesellschaft für Informatik e. V. (GI) (INFORMATIK 2013), September 16–20, 2013, Koblenz, Germany. GI.
 
2
Ask the Expert: Roel Schouwenberg Explains the State of Malware Threats: http://​blog.​kaspersky.​com/​ask-the-expert-roel-schouwenberg/​, 2013, letzter Zugriff: 1. November 2014.
 
3
Kaspersky Lab Identifies Operation „Red October“, an Advanced Cyber-Espionage Campaign Targeting Diplomatic and Government Institutions Worldwide: http://​www.​kaspersky.​com/​about/​news/​virus/​2013/​Kaspersky_​Lab_​Identifies_​Operation_​Red_​October_​an_​Advanced_​Cyber_​Espionage_​Campaign_​Targeting_​Diplomatic_​and_​Government_​Institutions_​Worldwide, letzter Zugriff: 1. November 2014.
 
4
https://​anubis.​iseclab.​org/​, letzter Zugriff: 1. November 2014.
 
5
Heise Zeitschriftenverlag, Darren Martyn: Schädlinge im Sandkasten, c’t 18/2013.
 
6
Leyla Bilge, Thorsten Strufe, Davide Balzarotti, and Engin Kirda. All Your Contacts Are Belong to
Us: Automated Identity Theft Attacks on Social Networks. In WWW, pages 551–560. ACM, 2009.
 
7
Peng Li, Chaoyang Zhang, Edward J. Perkins, Ping Gong, and Youping Deng. Comparison of probabilistic boolean network and dynamic bayesian network approaches for inferring gene regulatory networks. BMC Bioinformatics, 8(S-7), 2007.
 
8
David W. Mount. Bioinformatics: sequence and genome analysis. CSHL press, 2004.
 
9
Ebd.
 
10
Alignment „[…] is a way of arranging the sequences to identify regions of similarity that may be a consequence of functional, structural, or evolutionary relationships between the sequences“.
 
11
Auch eingereicht als Patent: ÖPA A 50292 2013 Algorithmus zur Anomaliedetektion.
 
12
http://​tools.​ietf.​org/​html/​rfc5424, letzter Zugriff: 1. November 2014.
 
13
http://​graylog2.​org/​, letzter Zugriff: 1. November 2014.
 
14
Halfond, William GJ, and Alessandro Orso. „AMNESIA: analysis and monitoring for NEutralizing SQL-injection attacks.“ Proceedings of the 20th IEEE/ACM international Conference on Automated software engineering. ACM, 2005.
 
15
 
16
Das individuell eingestellte Caching Verhalten des Browsers ist hier wider Erwarten kein allzu ernstes Problem. Falls der Algorithmus keine passenden und zutreffenden Hypothesen bilden kann, welche das Zugriffsverhalten auf cached Ressourcen charakterisiert, dann werden diese Log-Zeilen nur wenig bis gar keinen Einfluss auf den berechneten Anomalie-Grad haben. Wenn aber das Caching auch neuartige Muster in das System einbringt, z. B. alle organisationsinternen Browser verwenden Caching und erfragen Ressourcen nur ein mal pro Session, dann kann das Erhalten einer „304 not modified“-Antwort ungewöhnliches Verhalten sein, welches von einem Browser mit einer nicht organisations-konformen Konfiguration verursacht wurde (oder auch von z. B. wget). Damit wird dann bei Verletzung wiederum eine Anomalie erkannt und ein Alarm getriggert.
 
17
Die Genauigkeit der Zeitstempel in den Log-Daten beträgt zumindest eine Sekunde.
 
18
Diese Werte sind von der Dynamik und des Verhaltens des Gesamtsystems abhängig. Sie können entweder manuell festgelegt werden, sofern die Dynamik bestimmbar ist, oder auch automatisiert adaptiert werden. Letzteres erfordert dann jedoch eine ungleich höhere Datenbasis.
 
Metadaten
Titel
Erkennen von Anomalien und Angriffsmustern
verfasst von
Roman Fiedler
Florian Skopik
Thomas Mandl
Kurt Einzinger
Copyright-Jahr
2015
Verlag
Springer Berlin Heidelberg
DOI
https://doi.org/10.1007/978-3-662-44306-4_5

Premium Partner