Prof. Dr. Norbert Pohlmann Home mobile
slider

Analysekonzepte von Angriffen - Prof. Dr. Norbert Pohlmann

Analysekonzepte von Angriffen

Analysekonzepte von Angriffen - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann

Es gibt grundsätzlich zwei verschiedene Analysekonzepte, um Angriffe zu erkennen.

Signaturbasierte Erkennung

Erkennen von bekannten sicherheitsrelevanten Aktionen

Nach diesem Analysekonzept von Angriffen wird vorab festgehalten, welche bereits bekannten und hypothetischen sicherheitsrelevanten Ereignisse oder welche Folgen von sicherheitsrelevanten Ereignissen eine Sicherheitsverletzung, zum Beispiel einen Angriff, darstellen. Die unterschiedlichen Analysesysteme in diesem Bereich suchen dann nach solchen bekannten Ereignissen oder Ereignisfolgen. Diese Art wird auch signaturbasierte Erkennung oder Signaturverfahren bezeichnet.

Das Problem besteht darin, dass zwischen einer neu auftretenden Angriffsaktion und der Signatur, die zur Erkennung der neuen Angriffe verwendet wird, eine Verzögerung auftritt. Während dieser Zeitverzögerung kann die signaturbasierte Erkennung die Angriffe nicht identifizieren, was ein großes Cyber-Sicherheitsrisiko darstellt.

Erkennen von Anomalien
Erkennen von untypischen Situationen und Aktionen

Bei diesem Analysekonzept von Angriffen sollen über das Erkennen von Anomalien – eine Abweichung vom Normalen – Sicherheitsverletzungen wie Angriffe entdeckt werden. Dieses Analysekonzept basiert auf der Annahme, dass Sicherheitsverletzungen, wie Angriffe anhand (gravierender) Verhaltensabweichungen erkannt werden können. Daher können mit dem Analysekonzept „Erkennen von Anomalien“ auch neue Angriffe erkannt werden. Solche Verhaltensabweichungen werden auf einzelne Nutzer, auf einzelne Programme, auf bestimmte Dienste oder auch auf Kommunikationsabläufe bezogen erkannt. Grundlage der Anomalie-Erkennung ist die Beschreibung des „normalen“, für einen Aspekt typischen regulären Verhaltens in sogenannten Referenzprofilen. Diese Referenzprofile sind charakteristische Verhaltensmuster, die anhand von objektiv überprüfbaren Merkmalen beschrieben werden. Diese Merkmale können dann entweder mithilfe von Statistiken über das tägliche Verhalten oder aufgrund individueller Erfahrungswerte ausgewählt werden.

Die Herausforderung bei diesem Konzept ist die Einordnung, ob neue oder seltene Aktionen tatsächlich sicherheitsrelevant sind. Eine zu sensible Erkennung dieser Ereignisse führt zu vielen Falschmeldungen („false positve“) wobei eine zu strenge solche Ergebnisse verpassen könnte („false negative“).

Vergleich der verschiedenen Analysekonzepte

Beim Analysekonzept „Erkennen von bekannten sicherheitsrelevanten Aktionen“ wird als Ergebnis eine klare Aussage darüber getroffen, ob und welche Sicherheitsverletzung und/oder Angriff auftrat und erkannt wurde. Daraufhin können definierte Reaktionen eingeleitet werden.

Das Analysekonzepte „Erkennen von Anomalien“ hat den großen Vorteil, dass es durch die Art der Analyse gelingen kann, auch bislang unbekannte Sicherheitsverletzungen und Angriffe aufzuspüren, die von der direkten Angriffserkennung als solche nicht klassifiziert werden konnten. Damit kann dem Problem vorgebeugt werden, dass es sehr schwierig sein wird, ständig Informationen über neueste, hochaktuelle Angriffsszenarien in Erfahrung zu bringen, diese zu analysieren, und für die direkte Angriffserkennung zu modellieren und eine Angriffssignatur zu definieren sowie den Sensoren zur Verfügung zu stellen. Ein Nachteil dieses Auswertungskonzeptes ist, dass auch Fehlalarme generiert werden.

Weitere Informationen zum Begriff “Analysekonzepte von Angriffen”:


Vorlesung: „Cyber-Sicherheit Frühwarn- und Lagebildsysteme“

Artikel: “Sei gewarnt! Vorhersage von Angriffen im Online-Banking

Informationen über das Lehrbuch: „Cyber-Sicherheit“

Glossar Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Zurück zur Übersicht
Analysekonzepte von Angriffen - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann
Analysekonzepte von Angriffen Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten
500x500