Englisch Deutsch

innovative Anomaly and Intrusion-Detection



Forschung

Anomalie-Erkennung in Netzwerkdaten wurde bereits in vielen verschiedenen Ausprägungen praktiziert. So kommen z.B. Verfahren aus den Bereichen der Zeitreihenanalyse zum Einsatz. Andere Ansätze verwenden Techniken aus dem Bereich Maschinelles Lernen. Eingesetzt werden u.a. Clusterverfahren oder Klassifikationsverfahren.

Die Anomalieerkennung auf Basis von Paket-Header-Daten fokussiert sich auf eine kleinere Menge von Eigenschaften, die sich aus einer Konzentration auf bestimmte Bedrohungen ergeben. Zum Teil werden die IP-Adressinformationen der Pakete genutzt, welche dem Datenschutz unterliegen und es wird sich vorwiegend auf die Protokolle bis OSI-Schicht 4 (IP, TCP/UDP) beschränkt. Es gibt aber auch Ansätze für die Analyse von Daten auf der Anwendungsebene, welche für die Entdeckung von Exploits von besonderer Bedeutung ist. Neben dem Einsatz regulärer Ausdrücke im Bereich der Misuse-Detection kommen insbesondere statistische Beschreibungen des Payloads zum Einsatz. Ein Beispiel dafür ist die n-Gram-Analyse.

Mit der Frage, wie Intrusion-Detection-Systeme größere Datenmengen in Realzeit verarbeiten können, haben sich eine Reihe von Veröffentlichungen befasst. Viele Arbeiten existieren zum Einsatz von FPGA-basierten Systemen zur Beschleunigung der Auswertung. Dabei wird sich aber vielfach auf Misuse-Detection durch das Matching regulärer Ausdrücke bzw. Pattern-Matching konzentriert. Neben den FPGA-basierten Umsetzungen wird inzwischen auch an der Nutzung von Graphic-Processing-Units (GPUs) als eine relativ kostengünstige Variante für die Beschleunigung geforscht. Auch hier ist eine Konzentration auf Misuse-Detection-Ansätze festzustellen.

Neben den klassischen Techniken wie Firewalls und Anti-Viren-Lösungen, werden insbesondere Intrusion-Detection-Systeme wie Snort eingesetzt. Das gilt nur für 40% der Unternehmen, und selbst dann wird kein optimaler Schutz erreicht. Noch gravierender ist hier die Umkehrung zu sehen, dass 60% der Unternehmen bislang überhaupt keine Intrusion-Detection-Systeme einsetzen. Werden Detection-Systeme verwendet, arbeiten diese häufig nach dem Prinzip der Misuse-Detection. Allerdings werden solche Lösungen nur bedingt eingesetzt und sind bislang nur zum Teil praxistauglich. Zusammenfassend lässt sich sagen, dass durch den bislang verbreiteten Einsatz von Misuse-Detection meist nur bekannte Bedrohungen detektiert werden können.

Bisher lassen sich die beschriebenen Ziele in verschiedene Bereiche einteilen. Zunächst soll auf die Ebene der Beschreibung des Netzwerkverkehrs eingegangen werden. Im Rahmen von mehreren Förderungen (u.a. durch das BSI und das BMBF) wurde an der Westfälischen Hochschule in Gelsenkirchen das Internet-Analyse-System entwickelt. Es handelt es sich dabei um ein Frühwarnsystem, das Zähler-basierte Daten über das Netzwerk sammelt und diese in einer zentralen Datenbank speichert. Die Auswertung erfolgt über weitere Tools, die Zugriff auf die Datenbank haben.

Anhand unterschiedlicher Verfahren zur Auswertung der gesammelten Daten wird ein Verfahren für die Anomalieerkennung vorgestellt, das auf dem Einsatz probabilistischer neuronaler Netze (PNN) basiert. Hierbei handelt es sich um ein statistisches Verfahren, welches die Verteilung der zugrunde liegenden Daten schätzt und basierend darauf Entscheidungen trifft, ob ein Datenpunkt (physikalischer Punkt in der Signalverbindungskette, an dem eine Meldung oder der momentane Wert eines Signals erkennbar ist) normal oder anomal ist. Eine Anwendung auf die Flow-basierten Daten wird innerhalb des Projekts untersucht. Ein weiteres Verfahren befasst sich nicht mit Anomalieerkennung, sondern nutzt einen Misuse-Detection-Ansatz auf den Flow-basierten Daten. Dazu werden neuronale Netze eingesetzt, welche bei den Flow-Daten zu unterscheiden lernen, ob diese normal sind oder von einer Malware stammen. Dabei handelt es sich zwar nicht um Anomalieerkennung, aber die Ergebnisse zeigen die grundsätzliche Beschreibungsmächtigkeit des Ansatzes. Mit der effizienten Auswertung großer Datenmengen wird der Einsatz von GPUs für die Umsetzung der genannten Verfahrens beschrieben, ob sich GPUs zur Beschleunigung der Sensortechnologie des IAS eignen.

Generierte Testdaten werden in einer Datenbank gespeichert, die für das Testen der Erkennungsverfahren von Angriffen eingesetzt werden. Ein Angriffssimulator wurde bereits entwickelt.

iAID Bildmarke zum Seitenanfang