Sec-10-Intrusion and Malware Detection Flashcards
Intrusion(Angriffen) detection ?
Man erkennt die Angriffen in Data.
Instrusion Detection System
->SNORT
Malware detection?
Man erkennt Malware (Schadsoftware) in Data.
Virus Scanner -> Clam AV
Intrusion detection = malware detection?
In der Verganheit wurden die Intrusion Detection und Malware Detection als getrennte Bereiche betrachtet, aber heute konvergieren diese Bereiche, denn moderne Bedrohungen umfassen häufig sowohl Netzwerkangriffe als auch Malware.
IDS (Intrusion Detection System) Architecture ?
1) Monitoring, z.B Programmverhalten oder Netzwerkverkehr
2) Analysis, z.B Merkmalsextraktion
3) Detection, z.B Missbrauchsmuster, Erkennung von Anomalien
4) Response, z.B Alarmmeldungen, Blockierung
Monitoring and Auditing
Network-based Monitoring ?
Vor- und Nachteile ?
*Überwachung von Daten an einem Netzknoten: Live-capturing von Netzwerkverkehr und Untersuchung von Paketköpfen und Nutzdaten.
+ Schutz ganzer Netzsegmente
-Begrenzt durch Verschlüsselung und Datenvolumen (Man kann nicht verschlüsselte Nachrichten sehen)
z.B Network intrusion detection systems (NIDS)
Monitoring and Auditing
Host-based Monitoring ?
Vor- und Nachteile ?
- nicht ins Netzwerk, sondern im Computer, Auditing and monitoring of program behavior
+Feinkörnige Analyse der Aktivität des Hosts (Endsystemen)
-Beträchtlicher Overhead während der Laufzeit
z.B, Classic virus scanners, file integrity checkers
Monitoring and Auditing
Application-based Monitoring ?
Vor- und Nachteile ?
- Überwachung der Daten an einer Applikation (Browser): Spezifisches Auditing von Anwendungslogik und -status,
Überprüfung von Transaktionen und Protokollen
+Erkennung von spezifischen Applikationsangriffen (wie Java Skript)
-Laufzeit-Overhead und Erweiterung der Anwendung
z.B, Security plug-ins for browsers, database auditing.
