Angriffe oder Auswirkungen von Angriffen verursachen oft Abweichungen im Datenverkehr.
Ein plötzliches Ansteigen der Datenmenge oder das völlige Lahmlegen eines Internetdienstes können auf einen Angriff hinweisen. Mit der Anomalie-Erkennung zeigt PacketAlarm Abweichungen von definierten "normalen" Datenmengen an und meldet diese.
Welche Datenmenge "normal" ist, kann PacketAlarm lernen und vom Administrator anpassen lassen. Anomalien können für Netze, einzelne Maschinen und sogar einzelne Ports auf Maschinen definiert werden.
Gemeldet wird, wenn über eine definierte Zeitdauer eine bestimmte prozentuale Über- oder Unterschreitung eines üblichen Wertes festgestellt wird.
|