Intrusion Detection - TU Braunschweig · Intrusion Detection Systeme dienen der Erkennung von...
Transcript of Intrusion Detection - TU Braunschweig · Intrusion Detection Systeme dienen der Erkennung von...
BTU Cottbus, LS Rechnernetze und Kommunikationssysteme, Lehrstuhlinhaber: Prof. Dr.-Ing. H. König03013 Cottbus, Postfach 10 13 44,Telefon: 0355/69-2236 Fax: 0355/69-2127
Brandenburgische Technische Universität Cottbus
Brandenburgische Technische Universität Cottbus
Lehrstuhl Rechnernetze und Kommunikationssysteme
Intrusion DetectionMöglichkeiten und Probleme einer wirksamen Erkennung
sicherheitsgefährdender Aktionen im Internet
Hartmut König
{[email protected]}http://www-rnks.informatik.tu-cottbus.de/~forschung
Intrusion DetectionSomerschule KUVS 2003
2 © Prof. Dr. H. König
Intrusion Detection
I. Aufgaben und Ziele
II. Wie funktioniert ein Intrusion Detection System ?
III. Probleme des Einsatzes von Intrusion Detection Systemen
IV. Eigene Forschungsarbeiten
V. Ausblick
Intrusion DetectionSomerschule KUVS 2003
3 © Prof. Dr. H. König
I.Aufgaben und Ziele
Intrusion DetectionSomerschule KUVS 2003
4 © Prof. Dr. H. König
Sicherheit in Rechnernetzen
Die zunehmende Verlagerung wirtschaftlicher und privater Prozesse auf das Internet erhöht die Abhängigkeit dieser Prozesse von IT-Systemen. Deren wachsende technologische Komplexität bildet die Grundlage für ein stetig steigendes Bedrohungspotential.
Mechanismen erforderlich für
Schutz der Rechner und Netzinfrastrukturen
Erkennung und Abwehr von Einbrüchen
Sicherung der Überlebensfähigkeit von Netzen
nach Möglichkeit automatische und echtzeitfähige Schutzmechanismen
Intrusion DetectionSomerschule KUVS 2003
5 © Prof. Dr. H. König
Allgemeines Einbruchsproblem
Nach dem erfolgreichen Passieren der Authentifizierung durch einabgefangenes oder erratenes Passwort ist der Angreifer zweifelsfrei als Nutzer identifiziert, d. h., das Betriebssystem akzeptiert seineManipulationen.
Der Angreifer hat Zugriff zu allen Unterverzeichnissen, Dateien undProgrammen, die zu dem Account gehören.
Der Angreifer hat Zugang zum Netz.
☞ Die Zugriffskontrolle kann dies nicht mehr verhindern !!!
Intrusion DetectionSomerschule KUVS 2003
6 © Prof. Dr. H. König
Allgemeines Einbruchsproblem
Nach dem erfolgreichen Passieren der Authentifizierung durch einabgefangenes oder erratenes Passwort ist der Angreifer zweifelsfrei als Nutzer identifiziert, d. h., das Betriebssystem akzeptiert seineManipulationen.
Der Angreifer hat Zugriff zu allen Unterverzeichnissen, Dateien undProgrammen, die zu dem Account gehören.
Der Angreifer hat Zugang zum Netz.
☞ Die Zugriffskontrolle kann dies nicht mehr verhindern !!!
Intrusion DetectionSomerschule KUVS 2003
7 © Prof. Dr. H. König
Gemeldete sicherheitsrelevante Vorfälle beim CERT/CC
0
10000
20000
30000
40000
50000
60000
1990 1992 1994 1996 1998 2000
Amerikanisches Computer Emergency Response Team/Coordination Center: http://www.cert.org/stats/cert_stats.html
Intrusion DetectionSomerschule KUVS 2003
8 © Prof. Dr. H. König
Testangriffe auf Rechner des US-Militärs durch die DISA
Schu
tz
Anz
eige
38000 initiierteAngriffe
24700 erfolgreich(65 %)
Erke
nnun
g
988 erkannt(4 %)13300 schlugen
fehl (35 %)267 Vorfällegemeldet (27 %)
23712 nicht erkannt(96 %)
721 nicht gemeldet(73 %)
Quelle: Defense Information Systems Agency, GAO/AIMD-96-84, May 1996
Intrusion DetectionSomerschule KUVS 2003
9 © Prof. Dr. H. König
Ursachen für die Verletzlichkeit von Rechnersystemen und Netzinfrastrukturen
Die Hauptursachen für die Verletzlichkeit von Rechnersystemen und Netzinfrastrukturen liegt in Unzulängigkeiten von Betriebssystemen, Datenbanken, Kommunikations-protokollen, Netzdiensten, und anderer Komponenten.
Gründe: - Entwurfs- und Implementierungsschwachstellen
Spezifikationslücken
Implementierungsfehler
Konfigurationsfehler
Feature-Orientierung
- Mißbrauch durch Menschen
Attacken von außen (Hacker, Spione, Terroristen)
Attacken von innen (Mitarbeiter)
- Sorgloses Verhalten von Systemnutzern
Intrusion DetectionSomerschule KUVS 2003
10 © Prof. Dr. H. König
Insider-Problem
Source: Data Processing Management Assoc 1992
81 % 13 %6 %
Angestellte Ehem. Angestellte Externe
Login(& Firewall)Sicherheit 19 %Auditsicherheit 81 %
Intrusion DetectionSomerschule KUVS 2003
11 © Prof. Dr. H. König
Ziel des Intrusion Detection
Überwachung von Rechnersystemen und Netzinfrastrukturen zur Erkennung von Einbrüchen und Systemmissbrauch.
Unterschied zu anderen Sicherheitsmechanismen
Die meistens Sicherheitsmechanismen sind präventiv.
Intrusion Detection setzt eine Sicherheitsverletzung voraus !!!
☞ Primär ein Sicherheitsmechanismus zur Erkennung undBekämpfung von erfolgten Sicherheitsverletzungen !!!
Intrusion DetectionSomerschule KUVS 2003
12 © Prof. Dr. H. König
Was kann man mit Intrusion Detectionerreichen ?
Überwachung der Einhaltung von Sicherheitspolitiken
Erkennen von Eindringlingen
Erkennen von System-Missbrauch
Schadenserkennung und -begrenzung
Response-Mechanismen
Erfahrungsgewinn
Verbesserung der Erkennungs- und Abwehrstrategien
Abschreckungseffekt
Intrusion DetectionSomerschule KUVS 2003
13 © Prof. Dr. H. König
Einsatzformen des Intrusion Detection (1)
Überwachter Bereich
HostHost-basierte IDSAuswertung der protokollierten Auditdaten
NetzNetz-basierte IDSAnalyse des Netzverkehrs
Hybride Systeme
Intrusion DetectionSomerschule KUVS 2003
14 © Prof. Dr. H. König
Einsatzformen des Intrusion Detection (2)
Auswertungszeitpunkt
offlinepost mortem-Analyse
Präventiv
online
Echtzeitanalyse
reaktiv
Intrusion DetectionSomerschule KUVS 2003
15 © Prof. Dr. H. König
IIWie funktioniert ein Intrusion Detection System ?
Intrusion DetectionSomerschule KUVS 2003
16 © Prof. Dr. H. König
Prinzip des Intrusion Detection
Audit
IT-System
Analyse
Intrusion Detection System
Response
AlarmReaktion
Audit LogNutzer-aktionen
Intrusion DetectionSomerschule KUVS 2003
17 © Prof. Dr. H. König
II.1Audit
Intrusion DetectionSomerschule KUVS 2003
18 © Prof. Dr. H. König
Audit
elementare Sicherheitsfunktion, die sicherheitsrelevante system- und netzinterne Aktionen aufzeichnet.
Grundlage des Intrusion Detection
Aufzeichnung in Audit Records / Files
„Überwachungskamera“ der Rechnersysteme und –netze
Audit-Daten geben detailiert Auskunft darüber
WER hat
WANN, WO und WIE
auf WELCHE und WESSEN Ressourcen zugegriffen.
Intrusion DetectionSomerschule KUVS 2003
19 © Prof. Dr. H. König
Beispiel: Solaris Auditdaten
Audit-ID Rechner
AktionZeit
DateiAusführungsrechte
Dateityp
Nutzer- undGruppen-ID
StatusAusführung
header,113,2,open(2) – read,, Mon Jan 20 09:32:43 2003, 65002 msec
path,/usr,/lib/libintl.so.1
attribute,100775,bin,bin,8388638,29586,0
subject,richter,richter,rnks,richter,rnks,854,639,0 0 romeo
return, success,0Effektive Nutzer-und Gruppen-ID
Intrusion DetectionSomerschule KUVS 2003
20 © Prof. Dr. H. König
Audit-Arten
Betriebssystem-AuditFunktion des BetriebssystemsEreignisse: Systemaktivitäten
Netz-AuditNetzmonitoreEreignisse: Protokolldateneinheiten
Applikations-Auditfür die Anwendung zu programmierenEreignisse: applikationsspezifische, sicherheitsrelevante Aktivitäten
Intrusion DetectionSomerschule KUVS 2003
21 © Prof. Dr. H. König
II.2Intrusion Detection Systeme
Intrusion DetectionSomerschule KUVS 2003
22 © Prof. Dr. H. König
Intrusion Detection-Systeme (IDS)
Intrusion Detection Systeme dienen der Erkennung von Angriffen und System-Missbrauch.
Aufgaben: Aufzeichnung aller sicherheitsrelevanten Aktionendes überwachten Systems (Audit)Vorverarbeitung und Management der aufgezeich-neten Daten
Automatisierte Analyse dieser DatenAnzeige von Attacken und eventuell Einleitung vonGegenmaßnahmen zur Abwehr erkannter Angriff
Intrusion DetectionSomerschule KUVS 2003
23 © Prof. Dr. H. König
Prinzipieller Aufbau eines IntrusionDetection Systems
Gegenmaßnahmen
Wissens-basis
Speicher
Signali-sierungs-/ Reaktions-
einheitAuditdaten
zu überwachendes IT-System
Direktiven
Auswertungs-einheit
Management-einheit
GUI
Alarm
Sicherheits-administrator
Intrusion DetectionSomerschule KUVS 2003
24 © Prof. Dr. H. König
Analyse-Ansätze
Anomalie-Erkennung (anomaly detection)
Signaturanalyse (misuse detection)
Policy-basierte Erkennung (policy based detection)
Intrusion DetectionSomerschule KUVS 2003
25 © Prof. Dr. H. König
Anomalie-Erkennung (1)
Erkennen von signifikant abweichendem NutzerverhaltenZugrundeliegende Annahmen:
Nutzer haben Gewohnheiten in der Systembenutzungbestimmte NutzungszeitHäufigkeit der NutzungUmfang des DateizugangsAufruf bestimmter Programme/Dateien
“Normales“ nutzertypisches Verhalten ist statistisch beschreibbar.verhaltensbasierte Authentifikation
Auswertungsbasis: Referenzprofile des Nutzersein Angriffsszenarium muss nicht explizit vorgegeben werden
Intrusion DetectionSomerschule KUVS 2003
26 © Prof. Dr. H. König
Anomalie-Erkennung (2)
Auswertungsverfahren: z. B. Neuronale Netzelernfähigkompliziert: Korrelation zwischen Parametern
Probleme: Erfassung nutzerspezifischer Verhaltensmerkmale
berufsspezifische und persönliche Eigenheitenständige Aktualisierung erforderlichhohe Zahl von Fehlalarmenbei zufälliger Übereinstimmung Angreifer ↔ Referenzprofil keine Identifikation möglich
Intrusion DetectionSomerschule KUVS 2003
27 © Prof. Dr. H. König
Signaturanalyse (1)Erkennen von Einbrüchen auf der Grundlage bekannter und hypothetischer Angriffsszenarien
Angriffssignaturen
Voraussetzung:
Kenntnis der Schritte eines Angriffs und der notwendigen Kontextbedingungen
☞Das Leistungsvermögen der Signaturanalyse hängt vom Umfang, der Qualität und der Aktualität der zugrundeliegenden Angriffsmodelle ab !!!
“Hase-Igel-Spiel“
Intrusion DetectionSomerschule KUVS 2003
28 © Prof. Dr. H. König
Signaturanalyse (2)
Probleme:
Erfassen von AttackenSchwachstellenanalysenAuswertung von Einbrüchen
Erfassen der SignaturenIdentifikation der Manifestation einer Attacke in den Audit-RecordsAbspeicherung in Form von Regeln in einem Expertensystem
geeignete Beschreibung der Attacken
☞ empirisches Vorgehen !!!
Intrusion DetectionSomerschule KUVS 2003
29 © Prof. Dr. H. König
Anomalie-Erkennung vs. Signaturanalyse
Anomalie-Erkennungtheoretisch anspruchsvollaufwendig in der Umsetzungbegrenzte Wirksamkeit
Signaturanalysevergleichsweise geringerer Aufwandwirkungsvoller in der Erkennungkeine Erkennung anomalen Verhaltens
☞ komplementäre Techniken !!!
Intrusion DetectionSomerschule KUVS 2003
30 © Prof. Dr. H. König
Verhaltensebenen des Intrusion Detection
erforderlicheBasisdaten fürReferenzprofile
Signatur-analyse
Anomalie-erkennung
Fehlalarme
anomaleAktionen
„normale“typischeAktionen
sicherheitskonformsicherheitsgefährdend
entnommen aus: Sobirey, M.: Datenschutzorientiertes Intrusion Detection. Vieweg-Verlag, 1999.
Intrusion DetectionSomerschule KUVS 2003
31 © Prof. Dr. H. König
Policy-basierte Erkennung
Erkennen von Einbrüchen auf der Grundlage der Spezifikation erlaubten Verhaltens (default permit)
Vorgabe durch Sicherheitspolitik für das System
spezifikations-basierte Erkennung
Erkennungsprinzip der Signaturerkennung (default deny)
☞ bislang weniger genutzt
Intrusion DetectionSomerschule KUVS 2003
32 © Prof. Dr. H. König
Klassifikation der Intrusion DetectionSysteme
Intrusion Detection Systeme
kernelintegriert applikativ
stand alone verteilt
Überwachung sensitiver
Applikationen
Überwachungvon
Großrechnern
ÜberwachungNetzverkehr
Überwachungvon Firewalls
zentralisiert dezentralisiert
hybrid
Intrusion DetectionSomerschule KUVS 2003
33 © Prof. Dr. H. König
Beispiele für IDS
Intrusion DetectionSomerschule KUVS 2003
34 © Prof. Dr. H. König
III.Probleme des Einsatzes von Intrusion Detection
Systemen
Intrusion DetectionSomerschule KUVS 2003
35 © Prof. Dr. H. König
Anforderungen an Intrusion DetectionSysteme
leichte Integrierbarkeit in IT-Systeme
einfache Konfigurierbarkeit und Wartung
autonome und fehlertolerante Arbeitsweise
Geringe Inanspruchnahme von SystemressourcenMinimierung von Fehlalarmen und nicht erkannten Sicherheitsverletzungen
Inhärente Selbstschutzmechanismen
Intrusion DetectionSomerschule KUVS 2003
36 © Prof. Dr. H. König
Probleme des Einsatzes von IntrusionDetection Systemen
Hohes Aufkommen an Auditdaten
Datenschutz
Beschränkte Auswertungseffizienz
Fehlalarme
Response-Mechanismen
Selbstschutz
Kooperation von Intrusion Detection Systemen
Hoher Wartungsaufwand
Intrusion DetectionSomerschule KUVS 2003
37 © Prof. Dr. H. König
Problem: Auditdaten
Umfangsehr hohes DatenaufkommenOrt und Dauer der Aufbewahrungautomatische Auswertung anzustreben
SchutzAuditdaten können Ziel von Angreifern seinVernichtung / Verfälschung
Informationsgehaltwelche Informationen sind relevantoftmals unzureichendkeine Attackenerkennung Fehlalarme
Intrusion DetectionSomerschule KUVS 2003
38 © Prof. Dr. H. König
Experiment: Aufkommen an Auditdaten (1)
Ziel: Beobachtung von 4 unterschiedlich konfigurierten SUN-Workstations
Zeitdauer: 4 Tage
Protokollierte Aktionen: - Systemanmeldungen (logins)
- Lese- und Schreibzugriffe
- Erzeugen und Löschen von Dateien
- Modifikation von File-Attributen
- prozessrelevante/administrative Aktionen
- Starten von Prozessen
Intrusion DetectionSomerschule KUVS 2003
39 © Prof. Dr. H. König
Experiment: Aufkommen an Auditdaten (2)
Rechner 1 Rechner 2 Rechner 3 Rechner 4
SparcStation 20 20 5 5
Konfiguration stand aloneNFS-, Mail-, WWW-, Print-
stand aloneNFS-Client
dataless datalessNFS-ClientNFS-Client
Install.- u.Backup-Server
aktive Nutzer 2-3 4-5 1 1Auditdaten (Mbyte)
in 4 Tagenin 24 hin 1 h
150 108 18 19
37,5 27 4,5 4,75
1,56 1,12 0,19 0,20
Intrusion DetectionSomerschule KUVS 2003
40 © Prof. Dr. H. König
Lösungsansätze
Reduzierung des Datenaufkommens
Beschränkung auf die Protokollierung sicherheitsrelevanter Aktionen
Beschränkung der Überwachungsdomäne
HONA-Ansatz
Verteilte Erfassung und Bearbeitung
Vorverarbeitung in den systemnahen Überwachungseinheiten
Intrusion DetectionSomerschule KUVS 2003
41 © Prof. Dr. H. König
Probleme des Einsatzes von IntrusionDetection Systemen
Hohes Aufkommen an Auditdaten
Datenschutz
Beschränkte Auswertungseffizienz
Fehlalarme
Response-Mechanismen
Selbstschutz
Kooperation von Intrusion Detection Systemen
Hoher Wartungsaufwand
Intrusion DetectionSomerschule KUVS 2003
42 © Prof. Dr. H. König
Beispiel: Solaris Auditdaten
Aktion
header,113,2,open(2) – read,, Mon Jan 20 09:32:43 2003, 65002 msec
path,/usr,/lib/libintl.so.1
attribute,100775,bin,bin,8388638,29586,0
subject,richter,richter,rnks,richter,rnks,854,639,0 0 romeo
return, success,0Effektive Nutzer-und Gruppen-ID
Zeit
DateiAusführungsrechte
Dateityp
Audit-ID Nutzer- undGruppen-ID
StatusAusführung
Rechner
Intrusion DetectionSomerschule KUVS 2003
43 © Prof. Dr. H. König
Nutzeridentifizierende Einträge in Auditdaten
Konkrete Nutzer-IDs:Audit-ID, reale Nutzer- und Gruppen-IDs, effektive Nutzer- und Gruppen-IDs
Bedingt nutzeridentifizierende Daten:Namen der Home- und Unterverzeichnisse, Datei- und Programmnamen
Minimal nutzeridentifizierende Daten:Host-Type, Aktion + Zeit + Status, Zugriffsrechte + Aktion + Status
Intrusion DetectionSomerschule KUVS 2003
44 © Prof. Dr. H. König
Befindlichkeiten überwachter Nutzer
Umfrage von Dr. Michael Sobirey
Befragte Organisationen:Universität Hamburg, Universität Hildesheim, TU Berlin, TU Magdeburg, FAW Ulm, debis AG Bremen, Siemens-Nixdorf München
155 Fragenbögen / 148 Antworten
Fragen: - Ist der Einsatz von IDS prinizipiell notwendig ?- Unter welchen Bedingungen können Sie dem Einsatz
von IDS zustimmen ?- In welchem Umfang ist der Einsatz von IDS notwendig ?- Wie würden Sie persönlich auf den Einsatz von IDS in Ihrem
Arbeitsumfeld reagieren ?
Intrusion DetectionSomerschule KUVS 2003
45 © Prof. Dr. H. König
Umfrageergebnisse: Notwendigkeit IDS
0
10
20
30
40
50
60Pr
ozen
t
ja teils / teils nein
Entscheidung
Intrusion DetectionSomerschule KUVS 2003
46 © Prof. Dr. H. König
Umfrageergebnisse: Bedingungen / Umfang der IDS-Überwachung
Frage 2:
überwiegend Forderung nach restriktivem Einsatz
Frage 3:
mehrheitlich Beschränkung auf sensitive Bereicheknapp 50% Unterstützung bei Befragten, die Einsatz von IDS prinzipiell ablehnen
Intrusion DetectionSomerschule KUVS 2003
47 © Prof. Dr. H. König
Umfrageergebnisse: Reaktionen auf IDS-Überwachung
05
101520253035404550
Proz
ent
Ignorierung Unbehagen Gegenmaßnahmen
Entscheidung
Befürworter von IDSBefürworter unter VorbehaltBefragte sind gegen IDS
Intrusion DetectionSomerschule KUVS 2003
48 © Prof. Dr. H. König
Fazit
Intrusion Detection Systeme ermöglichen die Erhebung personenbezogener Daten.
Verletzung des Rechts auf informationelle Selbstbestimmung
Missbrauch möglich
Psychische Belastung
☞ Der Einsatz von IDS muss sensibel geplant werden und den Anforderungen des Datenschutzes angepasst werden !!!
Lösungsansätze: - 4-Augen-Prinzip (offline)
- Pseudonymes Audit (online, offline)
Intrusion DetectionSomerschule KUVS 2003
49 © Prof. Dr. H. König
Pseudonymes Auditverdächtiger
pseudonymerNutzer
Subjekt(Prozess)
Zugriffskontrolleund Generierung von Auditdaten
?
Objekt
Audit-Konfig.
Zugriffs-rechte
Reidentifikation
Audit-Analyse
Audit-datenPseudonymisierung
Intrusion DetectionSomerschule KUVS 2003
50 © Prof. Dr. H. König
Vorteile des pseudonymisierten Audit
Reduzierte Beobachtbarkeit des Nutzerverhaltens
Reidentifikation nur bei begründeten Verdacht
Gewährleistung von Nachweisbarkeit und Datenschutz
☞ Verfahrenstechnischer Schutz gegen mißbräuchliche Entschlüsselung:
DFG-Projekt Uni Dortmund (LS Prof. Biskup)
Intrusion DetectionSomerschule KUVS 2003
51 © Prof. Dr. H. König
Probleme des Einsatzes von IntrusionDetection Systemen
Hohes Aufkommen an Auditdaten
Datenschutz
Beschränkte Auswertungseffizienz
Fehlalarme
Response-Mechanismen
Selbstschutz
Kooperation von Intrusion Detection Systemen
Hoher Wartungsaufwand
Intrusion DetectionSomerschule KUVS 2003
52 © Prof. Dr. H. König
Beschränkte Auswertungseffizienz
Festgefügte Analysestrukturen
zentrale Auswerteeinheit / Passive Agenten
keine Anpassung an spezifische Überwachungstopologien
keine (Teil-) Auswertung in den Agenten
keine Behandlung von Überlastsituationen
Ungenügende Effizienz
regelbasierte Auswertung / Verwendung eines Standard-Expertensystems
schwerfällig bzgl. nebenläufigen Attackenabläufen und Attackenvarianten
Intrusion DetectionSomerschule KUVS 2003
53 © Prof. Dr. H. König
Probleme des Einsatzes von IntrusionDetection Systemen
Hohes Aufkommen an Auditdaten
Datenschutz
Beschränkte Auswertungseffizienz
Fehlalarme
Response-Mechanismen
Selbstschutz
Kooperation von Intrusion Detection Systemen
Hoher Wartungsaufwand
Intrusion DetectionSomerschule KUVS 2003
54 © Prof. Dr. H. König
Fehlalarme
Die Suche nach den in Signaturen kodierten Mustern schließt eigent-lich Fehlalarme per Definition aus.
Praxis zeichnet ein anderes Bild.hohe Zahl von Fehlalarmen (bis zu 10000 pro Monat berichtet)
Ursachen: qualitative Einschränkungen der Audit-Funktionenvor allem: empirische Signaturentwicklung
Lösungsansätze:Alarmkorrelationensystematische Ableitung von Signaturen
Intrusion DetectionSomerschule KUVS 2003
55 © Prof. Dr. H. König
IV.Eigene Forschungsarbeiten
Intrusion DetectionSomerschule KUVS 2003
56 © Prof. Dr. H. König
Startpunkt AID
Entwickler: BTU Cottbus / LS RNKS
Dr. Michael Sobirey, Birk Richter
Ziel: Überwachung lokaler Netze
Auswertungsprinzip: zentralistisch
keine Auswertung in den Agenten
Auswertungseinheit: RTworks Expertensystem
Abruf der Auditdaten von den Agenten durch gesteuertes PollingBetriebssystem-unabhängiges Auditdaten-FormatAnalyseleistung: - 2,5 Mbyte/min
Intrusion DetectionSomerschule KUVS 2003
57 © Prof. Dr. H. König
AID-Architektur
Manager
ReportArchiveExperten-
system
Interface
Wissens-basis
Reporterzeugung
Agent
Audit-daten
Betriebs-system
Host1
Agent
Audit-daten
Betriebs-system
Hosti
Agent
Audit-daten
Betriebs-system
Hostn
AID
. . . . . .
Intrusion DetectionSomerschule KUVS 2003
58 © Prof. Dr. H. König
Innovative Elemente von AID
Echtzeit-Überwachung eines lokalen NetzesSignaturanalyse
Datenschutz-orientiertes Audit
Datenschutz-orientiertes pseudonymes Audit
Verbesserung des Netz-AuditHost-orientiertes Netz-Audit (HONA)
Intrusion DetectionSomerschule KUVS 2003
59 © Prof. Dr. H. König
Defizite von AID
Feste AuswertungsstrukturZentrale Auswertungseinheit / Passive Agentenkeine Anpassung an Überwachungserfordernissekeine (Vor-) Auswertung in den Agentenkeine Behandlung von Überlastsituationen
Aufwendige Signatur-UpdatesFehlen geeigneter Beschreibungsmittel
Üngenügende Effizienzregelbasierte Analyse Nutzung kommerzieller Expertensysteme
Intrusion DetectionSomerschule KUVS 2003
60 © Prof. Dr. H. König
Verfolgte Ansätze
Flexible, verteilte Systemarchitekturen☞ HEIDI-Ansatz
Nutzerfreundliche Signaturbeschreibung und –Updates☞ Signaturbeschreibungssprache SHEDEL
Integration effizienter Auswertungsmethoden☞ Analysealgorithmus STRAFER
Intrusion DetectionSomerschule KUVS 2003
61 © Prof. Dr. H. König
IV.1.Der HEIDI-Ansatz
(High-Efficient Intrusion Detection Infrastructure)
Intrusion DetectionSomerschule KUVS 2003
62 © Prof. Dr. H. König
HEIDI-Ansatz
Ziel: Entwicklung flexibler IDS-Architekturen, die den Erfordernissender Einsatzumgebung und der Arbeitslast angepasst werdenkönnen.
Generierung maßgeschneiderter IDSBaukastensystem
BasiskomponentenSensorenAgentenNutzerinterfaces
Intrusion DetectionSomerschule KUVS 2003
63 © Prof. Dr. H. König
HEIDI-Sensoren
Module zum Erfassen und Vorverarbeiten von Auditdaten.
Ziel: schnelles Erfassen, Verarbeiten und Weiterleiten der DatenOperationsmodus: autonomLokation: wo erforderlich
in Abhängigkeit von der verwendeten Sicherheits-strategie
Komponenten: permanent und optional
☞Verschiedene Sensoren auf einem Host werden durch den Agenten koordiniert.
Intrusion DetectionSomerschule KUVS 2003
64 © Prof. Dr. H. König
HEIDI-Sensor
HEI
DI S
enso
r
Event Read Interface
Event Filter Unit
Event Transformation Unit
Event Completion Unit
Event Pseudonymization Unit
Event Transfer Buffer
Sens
or C
ontro
l Man
ager
IT System
HEIDI AgentHEIDI Agent
Intrusion DetectionSomerschule KUVS 2003
65 © Prof. Dr. H. König
HEIDI-Agenten
Modul für die Auswertung lokal und entfernt erfasster Auditdaten
Operationsmodus: autonomLokation: mindestens 1 Agent pro HostArbeitsweise:
vorrangig lokale AuswertungWeiterleitung von Daten und erkannten Teilsignaturengleichzeitige Ausführung mehrerer AnalyseprozesseDelegierung bei Überlast
Komponenten: permanent und optional
Intrusion DetectionSomerschule KUVS 2003
66 © Prof. Dr. H. König
HEIDI-Agent
HEI
DI A
gent
Even
t Arc
hive
Uni
t
Agen
t Per
form
ance
Mon
itor
Event ResponseUnit
Event InputUnit
Event ProcessingUnit
Event OutputUnit
Agen
t Net
wor
kC
oord
inat
or
Agen
t Con
trol M
anag
er
IT System Input Channels
Output Channels
HEIDI Agents
HEIDI User Interface
Intrusion DetectionSomerschule KUVS 2003
67 © Prof. Dr. H. König
HEIDI-Nutzerinterface
Graphisches Interface für den Sicherheitsadministrator für die Ver-waltung des Intrusion Detection Systems.
Systemkonfiguration
SystemmanagementAnbindung verschiedener Agenten
Visualisierung der Analyseergebnisse
Intrusion DetectionSomerschule KUVS 2003
68 © Prof. Dr. H. König
AID-Struktur mittels HEIDI
Überwachter Hostmit aktivem Agenten
Sensor
Agent
Überwachte Hostsmit passivem Agenten
Intrusion DetectionSomerschule KUVS 2003
69 © Prof. Dr. H. König
Verteiltes IDS mit HEIDI
NiedrigesDatenaufkommen
HohesDatenaufkommen
Delegierungsserver
Intrusion DetectionSomerschule KUVS 2003
70 © Prof. Dr. H. König
IV.2.SHEDEL
(Simple Hierarchical Event Description Language)
Intrusion DetectionSomerschule KUVS 2003
71 © Prof. Dr. H. König
Attackensprachen im Intrusion Detection
Audit
IT-System
Event LanguageExploit-language
Meta-Analyse
Analyse
Report
Reaktion
ReportLanguage
ResponseLanguageDetection
Language
CorrelationLanguage
Intrusion DetectionSomerschule KUVS 2003
72 © Prof. Dr. H. König
Detection Languages
Detection Languages dienen der Kodierung von Signaturen
☞ Typischerweise verwendet jedes IDS eine eigene Sprache !!!
Beispiele:P-Best-Sprache in EmeraldRUSSEL für ASAX
regel-basierte SprachenSTATL für STAT-Tool-Suite
zustandsorientiertIDIOT-IDS-Sprache
gefärbte Petri Netze
Intrusion DetectionSomerschule KUVS 2003
73 © Prof. Dr. H. König
SHEDEL
Ziel: Ereignis-basierte Beschreibung von Signaturen unabhängigvon der Erkennungsprozedur
Einfache Aktualisierung von SignaturbasenGrundlage für Analysealgorithmus
Basiskonzept: EreignisTyp + Merkmalenbesteht aus einer Folge von Ereignisse (Schritte)Beschreibung der temporalen BeziehungenBedingungenAktionen
Ereignishierarchien
Intrusion DetectionSomerschule KUVS 2003
74 © Prof. Dr. H. König
Ereignisbeschreibung in SHEDEL (1)
Conditions: ...
A1
B3
Conditions: ...
B1B2
E
filename
start
username
Conditions: A.file == B.file, ...
A hosttime
file
B pid
fileuser
A2
Merkmals-DefinitionZeitliche Folge
Intrusion DetectionSomerschule KUVS 2003
75 © Prof. Dr. H. König
Ereignisbeschreibung in SHEDEL (2)
A B
E
A1 A2 B1 B2 B3
☞ Ereignishierarchien für Teilsignaturen
Intrusion DetectionSomerschule KUVS 2003
76 © Prof. Dr. H. König
IV.2.2STRAFER
(STRAight Forward Event Recognition)
Intrusion DetectionSomerschule KUVS 2003
77 © Prof. Dr. H. König
STRAFER-Algorithmus (1)
Ziel: Reduzierung der Analyse-/Entdeckungszeit
Ansatz: - Ausnutzung von Wissen über Struktur und Inhalt der Auditdaten
- Verringerung der Anzahl zu überprüfender BedingungenGrundlage: SHEDEL Signaturbeschreibungen
Intrusion DetectionSomerschule KUVS 2003
78 © Prof. Dr. H. König
Herkömmliche Ansätze
Nutzung der Interferenzalgorithmen der ExpertensystemeEMERALD (P-Best), AID (RTworks), CMDS (Clips)Nutzung von Standard-Match-Algorithmen
Code-Erzeugung (STAT, IDIOT)Abbildung der Signaturen in C++-Moduleverarbeiten unabhängig voneinander Auditdaten
Vermutung: General-purpose Analyseverfahren implizieren Mehraufwand
Intrusion DetectionSomerschule KUVS 2003
79 © Prof. Dr. H. König
Grundidee von STRAFER (1)
Eingangsereignis
Typ: A
H→A→ID→E→F
A→B→C
O→P→A
H→A→I
H→A→I
O→P→A
O→P→A
D→E→F
D→E→F
X→Y→Z T→O→R
Ereignisobjekte
Welche Ereignisobjekte (partielle Matches) können mit einem Eingangsereignis vom Typ A erweitert werden?
Nur Ereignisobjekte, die Schritte vom Typ A enthalten!
S bereits eingetretener Schritt S
Intrusion DetectionSomerschule KUVS 2003
80 © Prof. Dr. H. König
Grundidee von STRAFER (2)
H→A→I
H→A→I
O→P→A
H→A→ID→E→F
A→B→C
O→P→A
D→E→F
D→E→F
X→Y→Z T→O→R
Ereignisobjekte
O→P→A
Eingangsereignis
Typ: A
Nur Schritte vom Typ A, die keinen oder bereits eingetretene Vorgängerschritte besitzen, können feuern
S bereits eingetretener Schritt S
Intrusion DetectionSomerschule KUVS 2003
81 © Prof. Dr. H. König
Grundidee von STRAFER (3)
Intra-Event-Bedingungen an einem Signaturschritt liefern bei gleichem Eingangsereignis für alle Ereignisobjekte dieser Signatur das gleiche Ergebnis und werden nur einmal geprüft.
Eingangsereignis
Typ: A
H→A→ID→E→F
A→B→C
O→P→A
H→A→I
H→A→I
O→P→A
O→P→A
D→E→F
D→E→F
X→Y→Z T→O→R
Ereignisobjekte
S bereits eingetretener Schritt S
step2.file==„passwd“
step2.file==„passwd“
Intrusion DetectionSomerschule KUVS 2003
82 © Prof. Dr. H. König
Stand der Arbeiten
HEIDIPrototyp-Implentierung Sensoren und Agent (WIN32)
fast fertiggestelltKonfiguration verschiedener ArchitekturenLeistungsmessungen
SHEDELCompilerGraphisches InterfaceSHEDEL II
STRAFERPrototyp-ImplementierungVergleichsmessungen
Intrusion DetectionSomerschule KUVS 2003
83 © Prof. Dr. H. König
IV.Ausblick
Intrusion DetectionSomerschule KUVS 2003
84 © Prof. Dr. H. König
Zukunft der Intrusion Detection (1)
Intrusion Detection Systeme sind ein hochwirksames Mittel für die Erkennung, Analyse und Verhinderung von Einbrüchen in Rechnersystemen und Netzinfrastrukturen.
zunehmende Bedeutung
momentan einzige Sicherheitstechnik, die nach erfolgten Sicherheits-verletzungen greift
notwendige komplementäre Ergänzung anderer Sicherheitstechniken
Intrusion DetectionSomerschule KUVS 2003
85 © Prof. Dr. H. König
Zukunft des Intrusion Detection (2)
Der wirksame Einsatz von Intrusion Detection Systemen erfordert jedoch noch einen weiteren Technologiefortschritt !!!
Hauptprobleme:
Komplexität der Technologie und des Einsatzgebietes
Schnelle und effiziente Signaturerfassung
Rela-Time-Fähigkeit der Einbruchserkennung
Intelligente Integration in das Netz-/Systemmanagement
Intrusion DetectionSomerschule KUVS 2003
86 © Prof. Dr. H. König
Literatur (1)
Escamilla, Terry: Intrusion Detection.John Wiley & Son, 1998
Amoroso, Edward G.: Intrusion Detection.Intrusion.Net Books, New Jersey, 1999
Sobirey, Michael: Datenschutzorientiertes Intrusion Detection.Vieweg-Verlag, DuD-Fachbeiträge, 1999
Intrusion DetectionSomerschule KUVS 2003
87 © Prof. Dr. H. König
Literatur (2)
McHugh, J.: Intrusion and intrusion detection. In: International Journal of Information Security. Heidelberg, Springer Verlag, 2001, Nr. 1, S. 14-35.
Axelsson, Stefan: Research in Intrusion Detection Systems: A Survey. Goeteborg, Chalmers University of Technology, Technical Report No. 98-17, 1998.
Holz, T.; Meier, M.; König, H.: Bausteine für effiziente Intrusion Detection Systeme. PIK 25 (2002) 3, S. 144-157.(zu letztem Abschnitt)