Skip to main content
View expanded cover

Cyber Attack Information System pp 89–118Cite as

Erkennen von Anomalien und Angriffsmustern

  • 4328 Accesses

Part of the Xpert.press book series (XPERT.PRESS)

Zusammenfassung

Nachdem Umfang und Dynamik von Cyberangriffen rasant zunehmen und vor allem moderne Bedrohungsszenarien, sogenannte Advanced Persistent Threats (APTs), die Grenzen herkömmlicher Schutzmechanismen wie Firewalls oder Virenscanner, vor allem beim Schutz kritischer Infrastrukturen, aufzeigen wurde für unser CAIS ein spezieller Anomalieerkennungsansatz entwickelt. Dabei werden die von den unterschiedlichen IT-Applikationen generierten Logging-Daten analysiert. Mit den verfügbaren Logging-Daten eines IT Systems wird zuerst ein Systemmodel aufgebaut, welches dann ständig gegen den aktuellen Logdatenstrom geprüft wird. Sobald eine signifikante Abweichung festgestellt wird – d.h. eine Anomalie - kann ein Administrator auf das Problem hingewiesen werden. Dieser Mechanismus funktioniert unabhängig davon ob die Ursache ein Angriff mit unbekanntem Schadcode, eine Manipulation mit gestohlenen Zugangsdaten oder eine technische Störung des Systems war. Da die verarbeiteten Logdaten oft auch personenbezogene Daten wie z.B. IP-Adressen oder eMailadressen enthalten können, muss das System auch rechtliche Datenschutzaspekte adäquat berücksichtigen. Deshalb wurde der entwickelte Algorithmus als auch die verarbeiteten Daten anhand der derzeit geltenden Rechtslage bewertet.

This is a preview of subscription content, access via your institution.

Chapter
USD   29.95
Price excludes VAT (USA)
  • DOI: 10.1007/978-3-662-44306-4_5
  • Chapter length: 30 pages
  • Instant PDF download
  • Readable on all devices
  • Own it forever
  • Exclusive offer for individuals only
  • Tax calculation will be finalised during checkout
eBook
USD   39.99
Price excludes VAT (USA)
  • ISBN: 978-3-662-44306-4
  • Instant PDF download
  • Readable on all devices
  • Own it forever
  • Exclusive offer for individuals only
  • Tax calculation will be finalised during checkout
Hardcover Book
USD   44.99
Price excludes VAT (USA)
Learn about institutional subscriptions
Abb. 5.1
Abb. 5.2
Abb. 5.3
Abb. 5.4
Abb. 5.5

Notes

  1. 1.

    Ask the Expert: Roel Schouwenberg Explains the State of Malware Threats: http://blog.kaspersky.com/ask-the-expert-roel-schouwenberg/, 2013, letzter Zugriff: 1. November 2014.

  2. 2.

    Kaspersky Lab Identifies Operation „Red October“, an Advanced Cyber-Espionage Campaign Targeting Diplomatic and Government Institutions Worldwide: http://www.kaspersky.com/about/news/virus/2013/Kaspersky_Lab_Identifies_Operation_Red_October_an_Advanced_Cyber_Espionage_Campaign_Targeting_Diplomatic_and_Government_Institutions_Worldwide, letzter Zugriff: 1. November 2014.

  3. 3.

    https://anubis.iseclab.org/, letzter Zugriff: 1. November 2014.

  4. 4.

    Heise Zeitschriftenverlag, Darren Martyn: Schädlinge im Sandkasten, c’t 18/2013.

  5. 5.

    Leyla Bilge, Thorsten Strufe, Davide Balzarotti, and Engin Kirda. All Your Contacts Are Belong to

    Us: Automated Identity Theft Attacks on Social Networks. In WWW, pages 551–560. ACM, 2009.

  6. 6.

    Peng Li, Chaoyang Zhang, Edward J. Perkins, Ping Gong, and Youping Deng. Comparison of probabilistic boolean network and dynamic bayesian network approaches for inferring gene regulatory networks. BMC Bioinformatics, 8(S-7), 2007.

  7. 7.

    David W. Mount. Bioinformatics: sequence and genome analysis. CSHL press, 2004.

  8. 8.

    Ebd.

  9. 9.

    Alignment „[…] is a way of arranging the sequences to identify regions of similarity that may be a consequence of functional, structural, or evolutionary relationships between the sequences“.

  10. 10.

    Auch eingereicht als Patent: ÖPA A 50292 2013 Algorithmus zur Anomaliedetektion.

  11. 11.

    http://tools.ietf.org/html/rfc5424, letzter Zugriff: 1. November 2014.

  12. 12.

    http://graylog2.org/, letzter Zugriff: 1. November 2014.

  13. 13.

    Halfond, William GJ, and Alessandro Orso. „AMNESIA: analysis and monitoring for NEutralizing SQL-injection attacks.“ Proceedings of the 20th IEEE/ACM international Conference on Automated software engineering. ACM, 2005.

  14. 14.

    http://www.alienvault.com/open-threat-exchange, letzter Zugriff: 1. November 2014.

  15. 15.

    Das individuell eingestellte Caching Verhalten des Browsers ist hier wider Erwarten kein allzu ernstes Problem. Falls der Algorithmus keine passenden und zutreffenden Hypothesen bilden kann, welche das Zugriffsverhalten auf cached Ressourcen charakterisiert, dann werden diese Log-Zeilen nur wenig bis gar keinen Einfluss auf den berechneten Anomalie-Grad haben. Wenn aber das Caching auch neuartige Muster in das System einbringt, z. B. alle organisationsinternen Browser verwenden Caching und erfragen Ressourcen nur ein mal pro Session, dann kann das Erhalten einer „304 not modified“-Antwort ungewöhnliches Verhalten sein, welches von einem Browser mit einer nicht organisations-konformen Konfiguration verursacht wurde (oder auch von z. B. wget). Damit wird dann bei Verletzung wiederum eine Anomalie erkannt und ein Alarm getriggert.

  16. 16.

    Die Genauigkeit der Zeitstempel in den Log-Daten beträgt zumindest eine Sekunde.

  17. 17.

    Diese Werte sind von der Dynamik und des Verhaltens des Gesamtsystems abhängig. Sie können entweder manuell festgelegt werden, sofern die Dynamik bestimmbar ist, oder auch automatisiert adaptiert werden. Letzteres erfordert dann jedoch eine ungleich höhere Datenbasis.

  18. 18.

    Siehe z. B. MAC Address Decoder, http://www.techzoom.net/tools/check-mac.en.

Author information

Authors and Affiliations

  1. AIT Austrian Institute of Technology GmbH, Wien, Österreich

    Roman Fiedler & Florian Skopik

  2. Netelligenz e.U., Wien, Österreich

    Thomas Mandl & Kurt Einzinger

Authors
  1. Roman Fiedler
    View author publications

    You can also search for this author in PubMed Google Scholar

  2. Florian Skopik
    View author publications

    You can also search for this author in PubMed Google Scholar

  3. Thomas Mandl
    View author publications

    You can also search for this author in PubMed Google Scholar

  4. Kurt Einzinger
    View author publications

    You can also search for this author in PubMed Google Scholar

Corresponding author

Correspondence to Florian Skopik .

Editor information

Editors and Affiliations

  1. Wien, Austria

    Helmut Leopold

  2. Weingraben, Austria

    Thomas Bleier

  3. Großweikersdorf, Austria

    Florian Skopik

Rights and permissions

Reprints and Permissions

Copyright information

© 2015 Springer-Verlag Berlin Heidelberg

About this chapter

Cite this chapter

Fiedler, R., Skopik, F., Mandl, T., Einzinger, K. (2015). Erkennen von Anomalien und Angriffsmustern. In: Leopold, H., Bleier, T., Skopik, F. (eds) Cyber Attack Information System. Xpert.press. Springer Vieweg, Berlin, Heidelberg. https://doi.org/10.1007/978-3-662-44306-4_5

Download citation

  • DOI: https://doi.org/10.1007/978-3-662-44306-4_5

  • Published:

  • Publisher Name: Springer Vieweg, Berlin, Heidelberg

  • Print ISBN: 978-3-662-44305-7

  • Online ISBN: 978-3-662-44306-4

  • eBook Packages: Computer Science and Engineering (German Language)