Ein Angriffsmuster ist ein wiederkehrendes Muster von Aktionen, an dem sich ein Angriff als solcher erkennen lässt. Sie werden häufig von Antivirenprogramme eingesetzt.
Einsatz Bearbeiten
In der Computerwelt werden Angriffsmuster beispielsweise in Intrusion Detection Systemen (IDS) dazu genutzt, festzustellen, ob ein bestimmtes System gerade von Hackern untersucht (White-Hat) oder angegriffen (Black-Hat) wird. Ein solches typisches Muster kann erst nach einem erfolgreichen Angriff erstellt werden. Wenn festgestellt wird, dass auf bestimmte aufeinander folgende Aktionen ein Angriff stattfindet, dann kann der Ablauf dieser Aktionen als Muster zur Angriffserkennung in Zukunft herangezogen werden. Diese Angriffsmuster werden häufig von Herstellern von IDS oder Antivirenprogramme erstellt und an deren Benutzer verkauft.
Fehler Bearbeiten
Die Fehlermöglichkeiten sind vielfältig, da ein Ablauf bestimmter Aktionen nicht zwangsläufig einen Angriff sein muss. Ein normaler Vorgang der durch Mustererkennung als Angriff markiert wird, also ein Falschalarm, wird als False Positive bezeichnet. Wird ein Angriff nicht erkannt, weil sich das Muster ausreichend geändert hat, oder ein neuer Angriff stattfindet, wird der Vorfall gar nicht erkannt; dies wird mit False Negative bezeichnet.