Prof. Dr. Norbert Pohlmann Home Logo Mobile
Logo-Glossar
slider

Analysekonzepte von Angriffen - Prof. Dr. Norbert Pohlmann

Analysekonzepte von Angriffen

Analysekonzepte von Angriffen als Kurvendiagramm

Was sind Analysekonzepte von Angriffen?


Analysekonzepte von Angriffen
Es gibt grundsätzlich zwei verschiedene Analysekonzepte, um Angriffe zu erkennen.

Signaturbasierte Erkennung

Erkennen von bekannten sicherheitsrelevanten Aktionen
Nach diesem Analysekonzept von Angriffen wird vorab festgehalten, welche bereits bekannten und hypothetischen sicherheitsrelevanten Ereignisse oder welche Folgen von sicherheitsrelevanten Ereignissen eine Sicherheitsverletzung, zum Beispiel einen Angriff, darstellen. Die unterschiedlichen Analysesysteme in diesem Bereich suchen dann nach solchen bekannten Ereignissen oder Ereignisfolgen. Diese Art wird auch signaturbasierte Erkennung oder Signaturverfahren bezeichnet.

Das Problem besteht darin, dass zwischen einer neu auftretenden Angriffsaktion und der Signatur, die zur Erkennung der neuen Angriffe verwendet wird, eine Verzögerung auftritt. Während dieser Zeitverzögerung kann die signaturbasierte Erkennung die Angriffe nicht identifizieren, was ein großes Cyber-Sicherheitsrisiko darstellt.

Erkennen von Anomalien

Erkennen von untypischen Situationen und Aktionen
Bei diesem Analysekonzept von Angriffen sollen über das Erkennen von Anomalien – eine Abweichung vom Normalen – Sicherheitsverletzungen wie Angriffe entdeckt werden. Dieses Analysekonzept basiert auf der Annahme, dass Sicherheitsverletzungen, wie Angriffe anhand (gravierender) Verhaltensabweichungen erkannt werden können. Daher können mit dem Analysekonzept „Erkennen von Anomalien“ auch neue Angriffe erkannt werden. Solche Verhaltensabweichungen werden auf einzelne Nutzer, auf einzelne Programme, auf bestimmte Dienste oder auch auf Kommunikationsabläufe bezogen erkannt. Grundlage der Anomalie-Erkennung ist die Beschreibung des „normalen“, für einen Aspekt typischen regulären Verhaltens in sogenannten Referenzprofilen. Diese Referenzprofile sind charakteristische Verhaltensmuster, die anhand von objektiv überprüfbaren Merkmalen beschrieben werden. Diese Merkmale können dann entweder mithilfe von Statistiken über das tägliche Verhalten oder aufgrund individueller Erfahrungswerte ausgewählt werden.

Die Herausforderung bei diesem Konzept ist die Einordnung, ob neue oder seltene Aktionen tatsächlich sicherheitsrelevant sind. Eine zu sensible Erkennung dieser Ereignisse führt zu vielen Falschmeldungen („false positve“) wobei eine zu strenge solche Ergebnisse verpassen könnte („false negative“).

Analysekonzepte von Angriffen als Kurvendiagramm
Abbildung: Analysekonzepte von Angriffen – © Copyright-Vermerk


Vergleich der verschiedenen Analysekonzepte

Beim Analysekonzept „Erkennen von bekannten sicherheitsrelevanten Aktionen“ wird als Ergebnis eine klare Aussage darüber getroffen, ob und welche Sicherheitsverletzung und/oder Angriff auftrat und erkannt wurde. Daraufhin können definierte Reaktionen eingeleitet werden.

Das Analysekonzepte „Erkennen von Anomalien“ hat den großen Vorteil, dass es durch die Art der Analyse gelingen kann, auch bislang unbekannte Sicherheitsverletzungen und Angriffe aufzuspüren, die von der direkten Angriffserkennung als solche nicht klassifiziert werden konnten. Damit kann dem Problem vorgebeugt werden, dass es sehr schwierig sein wird, ständig Informationen über neueste, hochaktuelle Angriffsszenarien in Erfahrung zu bringen, diese zu analysieren, und für die direkte Angriffserkennung zu modellieren und eine Angriffssignatur zu definieren sowie den Sensoren zur Verfügung zu stellen. Ein Nachteil dieses Auswertungskonzeptes ist, dass auch Fehlalarme generiert werden.

Malware-Erkennung (Beispiel)

In der folgenden Abbildung wird der Unterschied der verschiedenen Analysekonzepte, bezogen auf der Erkennung von Malware, dargestellt. Es wird deutlich, dass die signaturbasierte Erkennung nur wirkt, wenn diese bei allen angekommen ist und genutzt wird.

Malware / Anti-Malware-Lösungen - Signatur - Anomalie
Abbildung: Malware Erkennung – © Copyright-Vermerk




Weitere Informationen zum Begriff “Analysekonzepte von Angriffen”:


Artikel


Sei gewarnt! Vorhersage von Angriffen im Online-Banking

Der Virtuelle IT-Sicherheitsberater

Frühwarnsystem entdeckt Anomalien im Internetverkehr

Internetstatistik


Glossar


Cyber-Sicherheitsgefahr

Reaktive Cyber-Sicherheitssysteme

Maschinelles Lernen


Vorlesungen


Cyber-Sicherheit Frühwarn- und Lagebildsysteme


Zurück zur Übersicht




Summary
Analysekonzepte von Angriffen
Article Name
Analysekonzepte von Angriffen
Description
Analysekonzepte von Angriffen sind dazu da, um Cyber-Angriffe zu erkennen. Es gibt Signatur-basierte Erkennung von bekannten sicherheitsrelevanten Aktionen und Anomalie-basierte Erkennung von untypischen Situationen und Aktionen.
Author
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Analysekonzepte von Angriffen als Kurvendiagramm
Analysekonzepte von Angriffen Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten