# Anomaly Detection: Bedrohungen ohne Signaturen finden

TL;DR / Management Summary Klassische Antiviren-Software und Firewalls scheitern an Zero-Day-Exploits und menschlichen Fehlern, da sie nur bekannte Muster (Signaturen) erkennen. Behavioral Analysis geht einen anderen Weg: Wir definieren, was “Normal” ist (Baselining), und schlagen Alarm, wenn ein System davon abweicht. Wenn ein Webserver plötzlich SSH-Verbindungen nach China aufbaut oder der Root-User nachts um 03:00 Uhr hunderte Files ändert, ist das eine Anomalie. Wir lernen, wie wir diese Abweichungen mittels Auditd-Statistiken und Netdata ML aufspüren.

# 1. Einführung & Architektur

Baselining: Die Kunst der Normalität.

Anomalieerkennung erfordert zwei Phasen:

1. Lern-Phase: Erfassen des Standard-Verhaltens über 7-14 Tage.
2. Monitoring-Phase: Vergleich des Ist-Zustands mit dem Gelernten.

# Der Analyse-Stack (Mermaid)

graph TD
    A[Linux Host] --> B[Data Collection: Metrics / Logs]
    B --> C[Baseline Creation: Statistical Average]
    C --> D{Anomaly Engine}
    E[Current Activity] --> D
    D -->|Standard Deviation > X| F[ALERT: Suspect Behavior]
    D -->|Match| G[Normal Operation]
    subgraph "Anomalies"
        H[Volume Spike]
        I[New Process Pattern]
        J[Unusual Login Time]
    end
    F --- H
    F --- I
    F --- J

# 2. Statistische Analyse mit aureport

Abweichungen in der Historie.

Auditd (Artikel 337) bietet mit aureport ein oft unterschätztes Werkzeug für statistische Vergleiche.

# Top ausführbare Programme vergleichen

Wenn heute ein Programm in den Top 10 auftaucht, das dort nie war:

sudo aureport -x --summary

# Unübliche Login-Standorte

sudo aureport -h --summary
# Zeigt an, von welchen IPs die meisten Zugriffe kamen.

# 3. Echtzeit-Anomalieerkennung mit Netdata

Maschinelles Lernen für Admins.

Modernste Versionen von Netdata (Artikel 048) haben eine integrierte Machine-Learning Engine, die den “Normalzustand” jedes Graphen berechnet.

# Die Anomalie-Metrik

In Netdata finden Sie den Punkt “Anomaly Rate”.

• Ein Wert von 0% bedeutet: Alles wie immer.
• Ein Wert von 5% deutet auf eine signifikante Änderung im Systemverhalten hin (z.B. ein hängender Prozess oder ein Portscan).

# 4. Day-2 Operations: Prozess-Baselining

Wer darf was starten?

Ein mächtiger Ansatz ist das White-Listing von erlaubten Eltern-Kind-Beziehungen bei Prozessen.

• Normal: systemd -> nginx -> worker.
• Anomalie: nginx -> sh -> curl.

Nutzen Sie Auditd-Regeln (Artikel 338), um gezielt nach Shell-Spawns aus Web-Prozessen zu suchen.

# 5. Troubleshooting & “War Stories”

Wenn die Katze das Monitoring triggert.

# Story 1: “Der Fehlalarm durch Cron”

Symptom: Jeden Sonntag um 04:00 Uhr meldet das SIEM eine “Massive Daten-Exfiltration” (Anomalie). Ursache: Der wöchentliche Backup-Job (Artikel 295) lädt Terabytes in die Cloud. Für die Statistik ist das ein extremer Ausreißer. Lösung: “Wartungsfenster” im Baselining definieren. Bekannte periodische Lastspitzen müssen von der Anomalie-Erkennung ausgenommen werden.

# Story 2: “Die schleichende Malware”

Symptom: Ein Server wird immer langsamer, aber kein Tool schlägt Alarm. Ursache: Eine “Low and Slow” Malware sendet nur 1 Byte pro Minute nach außen und nutzt kaum CPU. Sie bleibt unter fast jedem Schwellwert. Lösung: Hier hilft nur die Drift-Analyse (Artikel 119). Vergleichen Sie die installierten Pakete und Kernel-Module mit einem “Golden Image”. Anomalien sind hier nicht zeitlich, sondern strukturell.

# 6. Fazit & Empfehlung

• Wartung: Aktualisieren Sie Ihre Baselines nach jedem großen Software-Release.
• Wahl: Nutzen Sie Netdata für Performance-Anomalien und Auditd/ELK für Security-Anomalien.
• Wichtig: Anomalieerkennung erzeugt mehr Fehlalarme als Signaturen. Planen Sie Zeit für die Feinjustierung ein.

# Anhang: Cheatsheet