Weiter Zurück Inhalt

Methoden der Angriffserkennung

Heutzutage existiert eine Vielzahl von Methoden zur Erkennung von Angriffen. Eine der einfachsten Möglichkeiten besteht darin, die Datenpakete nach dem Vorkommen bestimmter Bitsequenzen, die eventuell auf das Vorhandensein von malicious Code hinweisen können, zu überprüfen. Eine Sammlung solcher Sequenzen wird auch als Signaturdatenbank bezeichnet. Signaturbasierte Angriffserkennung erkennt die Angriffe zwar sehr zuverlässig,funktioniert jedoch in vielen Fällen nicht, da viele Vertreter von Malware in der Lage sind, ihren eigenen Code selbständig zu reorganisieren, ohne dabei die Verbreitungs- und Schädigungseigenschaften zu verlieren. Einen etwas anderen Ansatz verfolgt die heuristische Analyse. Heuristische Scanner halten nach Aktivitäten Ausschau, die für eine Malware typisch sind. Der Verdächtigkeitsgrad solcher Aktionen wird durch einen Satz von Regeln beschrieben. Eine verdächtige Aktivität könnte vom Scanner z.B. gemeldet werden, wenn:

Das Hauptproblem der heuristischen Angriffserkennung liegt in der Bestimmung der Grenze für die Verdächtigkeit einer Aktivität. Ein System mit einer sehr niedrig gesetzten Grenze würde viele Fehlalarme produzieren. Eine viel zu großzügig gewählte Warnstufe würde dagegen dafür sorgen, dass das System viele Angriffe einfach übersieht. Der Hauptvorteil der heuristischen Methode liegt in der Möglichkeit, absolut neue Angriffe zu entdecken, welche durch die signaturbasierte Prüfung nicht entdeckt werden können. Um die Beschreibung der folgenden Konzepte zu vereinfachen, wird in Zukunft lediglich auf die signaturbasierte Prüfung eingegangen. Andere Methoden der Angriffserkennung lassen sich jedoch ebenfalls problemlos in die im Rahmen dieser Arbeit vorgestellten Konzepte integrieren.

Weiter Zurück Inhalt