Anomaliebasierte Erkennung
Was ist Anomaliebasierte Erkennung?
Anomaliebasierte ErkennungEin Erkennungsansatz, der eine Baseline normalen Verhaltens aufbaut und Abweichungen davon als potenziell bösartig kennzeichnet.
Anomaliebasierte Erkennung lernt — über statistische Modelle, Heuristiken oder Machine Learning —, wie "normal" für ein Netzwerk, einen Host, einen Benutzer oder eine Anwendung aussieht, und alarmiert, wenn beobachtetes Verhalten deutlich davon abweicht. Sie ergänzt die signaturbasierte Erkennung, weil sie unbekannte Bedrohungen, internen Missbrauch, neue Malware und schleichende Angriffe sichtbar macht, für die noch keine Signatur existiert. Umsetzungen finden sich in UEBA, NDR/XDR-Analysen, NetFlow-Verhaltens-Baselining und DNS-Profilanalyse. Im Gegenzug entstehen mehr Falschalarme — legitime Änderungen können anomal wirken —, weshalb sorgfältig gewählte Baseline-Fenster, Feedback-Schleifen, Schwellwerte und ein Analystenprozess nötig sind.
● Beispiele
- 01
Eine UEBA meldet ein Servicekonto, das plötzlich um 02:00 Uhr aus einem neuen Land authentifiziert.
- 02
Ein NDR schlägt Alarm, weil das ausgehende Volumen eines Datenbankservers sich ohne Deployment verdreifacht.
● Häufige Fragen
Was ist Anomaliebasierte Erkennung?
Ein Erkennungsansatz, der eine Baseline normalen Verhaltens aufbaut und Abweichungen davon als potenziell bösartig kennzeichnet. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet Anomaliebasierte Erkennung?
Ein Erkennungsansatz, der eine Baseline normalen Verhaltens aufbaut und Abweichungen davon als potenziell bösartig kennzeichnet.
Wie schützt man sich gegen Anomaliebasierte Erkennung?
Schutzmaßnahmen gegen Anomaliebasierte Erkennung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Anomaliebasierte Erkennung?
Übliche alternative Bezeichnungen: Verhaltensbasierte Erkennung, Heuristische Erkennung.