Anomalieerkennung beim Intrusion Detection System
Im Gegensatz zur Missbrauchserkennung kann die Anomalieerkennung auch Angriffe erkennen, die unbekannt sind. Im Prinzip wird der Datenverkehr und die Regelmäßigkeiten, die dabei entstehen, gelernt. Alles was gegen eine Regelmäßigkeit verstößt würde als Angriffsversuch oder Angriffsvorbereitung gedeutet werden. Wie nun im Einzelnen der Aufbau und die Funktionsweise einer solchen Analyse-Engine gestaltet wird, wird in dem nachfolgenden Abschnitt dargestellt. Hier geht es zu den einzelnen Techniken der Anomalieerkennung.
Aufbau und Funktionsweise der Analyse-Engine bei der Anomalieerkennung
Der Aufbau der Analyse-Engine, ist in den ersten drei Teilschritte gleich mit der Missbrauchserkennung, es besteht jedoch eine andere Vorgehensweise innerhalb der Teilschritte.
Informationssammlung und Ereignisse
Die Sammlung von Informationen für die Anomalieerkennung wird direkt aus dem Produktivsystem oder aus einem vergleichbaren System durchgeführt. Bei der Sammlung ist besonderst wichtig, dass die Systemumgebung sauber ist, d. h. die Systemumgebung darf nicht durch Angreifer kompromittiert sein. Ansonsten würde das System die Informationen als normal aufzeichnen und die Anomalieerkennung hätte somit keine Handhabe die Angriffe oder Backdoors zu erkennen.
Aufbereiten der Informationen (Preprocessing)
Bei der Anomalieerkennung werden die Ereignisdaten aufbereitet, damit sie in Arrays oder Tabellen gespeichert werden können. Die Kategorisierung wird anhand des Systemnamens und/oder der IP-Adresse des Systems vorgenommen. Die entstehenden unterschiedlichen Daten oder Informationen werden in eine allgemeine Form gebracht, damit die Analyse-Engine unterschiedliche Betriebssysteme überwachen kann.
Klassifizierung der Informationen
Die Klassifizierung der Informationen, bei der Anomalieerkennung, wird mittels statistischen Profilen vorgenommen. Diese statistischen Profile bilden das Benutzerverhalten über die Zeit ab. Am Beispiel des IDES, ein Experten System kann man erkennen, wie eine Klassifizierung vorgenommen werden könnte. Die Klassifizierung des IDES ist eingeteilt in Ordinal und Kategorisch sowie Binär und Linear. Der Schnittpunkt Ordinal und Binär, ist durch einen Wert ohne direkten Bezug zum Ereignis gekennzeichnet z. B. die CPU-Zeit. Der Schnittpunkt Kategorisch und Binär ist gekennzeichnet durch das Auftreten oder nicht Auftreten eines Ereignisses z. B. ob ein Verzeichnis genutzt wurde oder nicht. Und zuletzt ist der Schnittpunkt Kategorisch und Linear durch die Anzahl von bestimmten Ereignissen, über einen Zeitraum, gekennzeichnet z.B. die Anzahl der systembezogenen Fehler.
Erzeugung von Benutzerprofilen
Die Analyse-Engine bzw. der Detektor wird auf Basis der zuvor gesammelten und klassifizierten Daten die Benutzerprofile erstellen. Nochmals soll daran erinnert werden das in den benutzten Daten keine Kompromittierung enthalten sein darf, da sonst ein schädliches Benutzerverhalten als normal angesehen wird.
Weiterführende Informationen
Diese Informationen könnten Sie ebenfalls interessieren:
- Anomalieerkennung und die Schwellenwertanalyse