Lade Inhalt...

Intrusion Detection Systeme

Die Wahrscheinlichkeitsverteilung der Angriffserkennung mit zunehmender Angriffsintensität

Diplomarbeit 2008 92 Seiten

Informatik - Wirtschaftsinformatik

Leseprobe

Inhaltsübersicht

Abkürzungsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1 Einleitung

2 Grundbegriffe der IT-Sicherheit
2.1 Die IT-Sicherheit und ihre Ziele
2.2 Der Angriff
2.3 Ein nicht autorisierter Nutzer
2.4 Intrusion Detection und Intrusion Detection Systeme
2.5 Computer und Netzwerke

3 Forschungsfrage

4 Ergebnisse der Literatur
4.1 Angriffe
4.2 Intrusion Detection Systeme
4.2.1 Komponenten von Intrusion Detection Systemen
4.2.1.1 Ereigniskomponente
4.2.1.2 Analyse- und Datenbankkomponente
4.2.1.3 Reaktionskomponente
4.2.2 Arten von Intrusion Detection Systemen
4.2.2.1 Datenquellen
4.2.2.1.1 Hostbasierte Systeme
4.2.2.1.2 Applikationsbasierte Systeme
4.2.2.1.3 Netzwerkbasierte Systeme
4.2.2.2 Analysearten
4.2.2.2.1 Missbrauchserkennung
4.2.2.2.2 Anomalieerkennung
4.2.2.3 Analysezeitpunkt
4.2.2.3.1 Realtime
4.2.2.3.2 Forensic Analysis
4.2.3 Methoden der Analyse
4.2.3.1 Methoden im Rahmen der Missbrauchserkennung
4.2.3.1.1 Signaturanalyse mit Boyer-Moore-Algorithmus
4.2.3.1.2 Regelbasiertes Expertensystem
4.2.3.1.3 State Transition Analysis
4.2.3.2 Methoden im Rahmen der Anomalieerkennung
4.2.3.2.1 Statistische Anomalieerkennung
4.2.3.2.2 Regelbasierte Anomalieerkennung
4.2.3.2.3 Neuronale Netze
4.3 Beantwortung der Forschungsfrage

5 Methoden und ihre Erkennungswahrscheinlichkeit
5.1 Szenarien der Angriffserkennung
5.1.1 Die Anwendung der Missbrauchserkennung
5.1.1.1 Vorüberlegungen zur Missbrauchserkennung
5.1.1.2 Szenario zum Boyer-Moore-Algorithmus
5.1.1.3 Szenario zum regelbasierten Expertensystem
5.1.1.4 Szenario zur State Transition Analysis
5.1.1.5 Zusammenfassung der Erkenntnisse bei der Missbrauchserkennung
5.1.2 Die Anwendung der Anomalieerkennung
5.1.2.1 Vorüberlegungen zur Anomalieerkennung
5.1.2.2 Szenario zur statistischen Anomalieerkennung
5.1.2.3 Szenario zur regelbasierten Anomalieerkennung
5.1.2.4 Szenario zu Neuronalen Netzen
5.1.2.5 Zusammenfassung der Erkenntnisse bei der Anomalieerkennung
5.2 Allgemeiner Verlauf der Erkennungswahrscheinlichkeit

6 Kritische Würdigung

7 Zusammenfassung und Ausblick

Anhang A: Weitere Unterlagen zu den Analysemethoden
A.1 Beispiel für den Boyer-Moore-Algorithmus in Programmcode C
A.2 Beispiel für die statistische Anomalieerkennung
A.3 Beispiel für ein einfaches Neuronales Netz

Anhang B: Weitere Unterlagen zu den Szenarien
B.1 Glattgezogene Testreihe für die statistische Anomalieerkennung

Literatur

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Bild 2-1 Unterschiedliche Nutzergruppen (Anderson 1980, S. 8)

Bild 4-1 Angriffsraffinesse vs. technisches Angreiferwissen (Allen et al. 2000, S. 4)

Bild 4-2 Boyer-Moore-Algorithmus (Boyer und Moore 1977, S. 764)

Bild 4-3 Ausgangsanforderungen und kompromittierter Status von Penetration 1 (Ilgun et al. 1995, S. 186)

Bild 4-4 Acht Aktivitäten des vierten Befehls (Ilgun et al. 1995, S. 186)

Bild 4-5 Zwischenmodell des State Transition Diagramms von Penetration 1 (Ilgun et al. 1995, S. 186)

Bild 4-6 Endversion des State Transition Diagramms von Penetration 1 (Ilgun et al. 1995, S. 187)

Bild 4-7 Beziehung von S zu TPROB (Javitz und Valdes 1991, S. 319)

Bild 5-1 Verlauf der Anzahl an potentiellen Angreifern

Bild 5-2 Normalverteilung der Angriffszahl i (pro Tag)

Bild 5-3 Wahrscheinlickeitsverteilung für Vorüberlegungen der Missbrauchserkennung

Bild 5-4 Wahrscheinlichkeitsverteilung für Boyer-Moore-Algorithmus (Version 1)

Bild 5-5 Wahrscheinlichkeitsverteilung für Boyer-Moore-Algorithmus (Version 2)

Bild 5-6 Wahrscheinlichkeitsverteilung für regelbasiertes Expertensystem (Version 1)

Bild 5-7 Wahrscheinlichkeitsverteilung für regelbasiertes Expertensystem (Version 2)

Bild 5-8 Wahrscheinlichkeitsverteilung für State Transition Analysis (Version 1)

Bild 5-9 Wahrscheinlichkeitsverteilung für State Transition Analysis (Version 2)

Bild 5-10 Wahrscheinlichkeitsverteilung für die Missbrauchserkennung

Bild 5-11 Vorüberlegungen der Anomalieerkennung (Version 1)

Bild 5-12 Vorüberlegungen der Anomalieerkennung (Version 2)

Bild 5-13 Wahrscheinlichkeitsverteilung für Vorüberlegungen der Anomalieerkennung

Bild 5-14 Erkennungswahrscheinlichkeit bei aufeinander folgenden Angriffen

Bild 5-15 Erkennungswahrscheinlichkeit bei gleichzeitigen Angriffen

Bild 5-16 Wahrscheinlichkeitsverteilung für die statistische Anomalieerkennung

Bild 5-17 Wahrscheinlichkeitsverteilung für die regelbasierte Anomalieerkennung

Bild 5-18 Wahrscheinlichkeitsverteilung für die regelbasierte Anomalieerkennung

Bild 5-19 Wahrscheinlichkeitsverteilung für die Anomalieerkennung

Bild 5-20 Beispiel für die Wahrscheinlichkeitsverteilung der Missbrauchs- und Anomalieerkennung sowie den Gesamtverlauf

Bild 5-21 Die Wahrscheinlichkeitsverteilung der Erkennung von Angriffen durch Intrusion Detection Systeme bei zunehmender Angriffsintensität

Tabellenverzeichnis

Tabelle 4-1 Fakten für Erkennen des SYN Flood Angriffs (Lindqvist und Porras 1999, S. 157)

Tabelle 4-2 Regelsammlung für die Erkennung eines SYN Flood Angriffs (Lindqvist und Porras 1999, S. 157)

Tabelle 4-3 Penetrationsszenario 1 (Ilgun et al. 1995, S. 185)

Tabelle 5-1 Signaturmöglichkeiten mit zunehmender Angriffsintensität

1 Einleitung

In der heutigen digitalen Welt dienen Computer als Ablage für alle relevanten und sensiblen Firmeninformationen. Der Geschäftserfolg und der Erhalt des Wettbewerbsvorteils eines Unternehmens hängen somit maßgeblich von dem Schutz dieser Informationen vor unberechtigten Zugriffen ab. Aktuelle Meldungen (Martin-Jung 2008; Riedl 2008) zeigen, dass die Gefahr von Angriffen auf Computer und Netzwerke mit wachsendem Wettbewerbsdruck immer größer wird. Eine optimale Strategie für IT-Investitionen bildet die Grundlage für eine angemessene Reaktion auf diese Gefährdung. Diesem erfolgskritischen Thema widmet sich ein Forschungsprojekt am Wirtschaftsinformatik-Lehrstuhl der Universität Augsburg. Darin soll das Verhalten eines finanziell motivierten und rational handelnden Angreifers modelliert werden, um mögliche Aktivitäten vorauszusagen und von vornherein angemessene Reaktionen und ggf. präventive Maßnahmen optimal zu bestimmen. Angreifer dieser Art verfolgen wirtschaftliche Ziele und orientieren ihr Verhalten an der Gefahr, entdeckt und somit bestraft zu werden.

Bisherige Arbeiten zu Intrusion Detection Systemen beschreiben hauptsächlich die Funktionsweisen der verschiedenen Systeme mit den jeweiligen Vor- und Nachteilen. Wenige Artikel beschäftigen sich mit der Leistungsfähigkeit von IDS allgemein und der Erkennungswahrscheinlichkeit im Speziellen. Die Arbeit von Lippmann et al. (2000b) liefert die aktuellsten Aussagen dazu. Studien zum Verhalten der Erkennungswahrscheinlichkeit bei wiederholter Ausführung derselben Attacke existieren nicht. Diese Lücke im theoretischen Konzept zu Intrusion Detection wird durch die vorliegende Arbeit geschlossen. Ergebnis ist eine allgemeine Aussage über die Wahrscheinlichkeitsverteilung der Angriffserkennung mit zunehmender Angriffsintensität als Grundlage für die Modellierung des Angreiferverhaltens.

Im zweiten Kapitel der vorliegenden Arbeit erfolgt zunächst die Definition der grundlegenden Begriffe zur Thematik Intrusion Detection, um ein einheitliches Begriffsverständnis zu schaffen. Anschließend wird im dritten Kapitel die Forschungsfrage, d.h. die Motivation zu dieser Arbeit, erörtert. Das vierte Kapitel beinhaltet eine Zusammenfassung der bisherigen Literatur zu Intrusion Detection Systemen und untersucht diese im Hinblick auf die Forschungsfrage. Zunächst werden allgemein Angriffe auf IT-Systeme charakterisiert. Es folgt eine detaillierte Darstellung der Arten und Methoden von ID-Systemen mit Beschreibungen ausgewählter Funktionsweisen. Daraus abgeleitet werden im fünften Kapitel Szenarien zur Erkennungswahrscheinlichkeit für jede spezielle Methode entwickelt. Die gewonnenen Erkenntnisse fließen dann zu einer allgemeinen Aussage über die Wahrscheinlichkeitsverteilung der Angriffserkennung mit zunehmender Angriffsintensität zusammen. Das sechste Kapitel widmet sich der kritischen Würdigung und diskutiert den Einfluss der getroffenen Annahmen auf das Ergebnis. Den Abschluss bildet eine Zusammenfassung der gewonnenen Erkenntnisse mit einem Ausblick auf zukünftige Arbeiten.

2 Grundbegriffe der IT-Sicherheit

Die Thematik der Angriffe und Angriffserkennung ist bisher wenig standardisiert. Eine einheitliche Begriffsdefinition hat sich nicht etabliert. In diesem Kapitel erfolgt daher eine Definition grundlegender Begriffe der IT-Sicherheit, die in dieser Arbeit verwendet werden. Zunächst wird geklärt, was IT-Sicherheit eigentlich bedeutet. Anschließend erfolgt die Definition der Begriffe Angriff und nicht autorisierter Nutzer. Danach werden kurz die zentralen Begriffe Intrusion Detection und Intrusion Detection Systeme erläutert. Abschließend folgt die Klärung von Fachbegriffen zu Computersystemen und Netzwerken.

2.1 Die IT-Sicherheit und ihre Ziele

Die IT-Sicherheit dient dem Schutz von Daten (Axelsson und Sands 2006, S. 2). Axelsson und Sands (2006, S. 2) und Meier (2007, S. 6) stellen vier Schutzziele für Daten fest und charakterisieren diese.

1. Die Integrität stellt sicher, dass die Daten ausschließlich von autorisierten Nutzern verändert oder gelöscht werden. Unberechtigte Modifikationen müssen verhindert werden, um die Exaktheit der Daten zu garantieren. Nur unter dieser Voraussetzung sind die gespeicherten und verarbeiteten Informationen vertrauenswürdig.
2. Der Schutz der Verfügbarkeit soll garantieren, dass die Ressourcen nicht unberechtigt oder missbräuchlich besetzt werden. Eine Einschränkung in diesem Bereich kann dazu führen, dass andere Nutzer auf Informationen oder Dienste nicht zu greifen können. Für reibungslose Abläufe müssen alle relevanten Informationen zum gewünschten Zeitpunkt in der gewünschten Form verfügbar sein.
3. Die Vertraulichkeit bezeichnet den Schutz vor der Offenlegung geheimer, geschützter Daten durch nicht autorisierte Zugriffe von fremden Personen. Insbesondere Informationen, deren Wert sich durch die Geheimhaltung bestimmt, müssen unbedingt geschützt werden.
4. Die Zurechenbarkeit beschreibt die verursachergerechte Zuordnung von Systemaktivitäten. Eine Verletzung ermöglicht einem Angreifer die Verschleierung seiner Handlungen.

2.2 Der Angriff

Ein Angriff oder eine Attacke (engl. Intrusion) ist die bösartige, gezielte Verletzung der Sicherheitspolitik, d.h. eines der o.g. vier Schutzziele, durch einen nicht autorisierten Nutzer. Das Wort bösartig unterstellt dem Angreifer, auch Hacker oder Intruder genannt (Allen et al. 2000, S. 8), zielgerichtetes Handeln, welches ökonomisch, durch Ruhm oder anderweitig motiviert ist. Systeme zur Erkennung von Sicherheitsverletzungen können diesen Hintergrund generell nicht überprüfen und lösen für jedes verdächtige Verhalten Alarm aus. (Axelsson und Sands 2006, S. 17-18)

Ein Angriff besteht aus mehreren Aktivitäten. Das sind Handlungen, die der Angreifer unternehmen muss, um die Attacke erfolgreich zu beenden (Ilgun et al. 1995, S. 184), z.B. ein vorbereitender Port Scan, um Informationen über die Schnittstellen des Computers zu erhalten. Jede Aktivität wird von Operationen, d.h. genauen Befehlen, die der Angreifer für z.B. einen Port Scan eingeben muss, ausgelöst. Dabei kann ein Befehl mehrere Handlungen bewirken. Ein einfaches Alltagsbeispiel ist die Anweisung „Öffne das Fenster“, die die Handlungen Aufstehen, zum Fenster laufen und Fenster öffnen bewirkt. Jede Aktivität und jede Operation kann mehrfach ausgeführt werden. Die Anzahl der Durchführungen eines Angriffs oder einer Aktivität wird als Intensität bezeichnet. Der Erfolg einer Attacke hängt nicht von der Reihenfolge der Aktivitäten ab. Diese können vertauscht ablaufen oder durch unkritische Aktivitäten unterbrochen werden (Ilgun et al. 1995, S. 184). Bei Ausführung eines Angriffs wird ein bestimmtes Verhaltensmuster erzeugt. Das ist gekennzeichnet durch die typischen Aktivitäten, die selbst oder deren zusammenhängendes Auftreten sicherheitskritisch sind. Ergebnis ist eine charakteristische Zeichenkette, die sog. Signatur. (Meier und Schmerl 2005, S. 2)

Angriffe nutzen generell bekannte Systemschwächen, engl. Vulnerability, in Hardware oder Software aus, die die Möglichkeit für eine Penetration geben (Anderson 1980, S. 4; McHugh 2001, S. 15). Exploit beschreibt das Ausnutzen der identifizierten Systemschwäche mit Hilfe einer speziellen Methode oder eines Tools, dem sog. Exploit Script (Allen et al. 2000, S. 8). Der Begriff Penetration bezeichnet einen erfolgreichen Angriff (Anderson 1980, S. 5).

2.3 Ein nicht autorisierter Nutzer

Allgemein umfasst der Begriff des nicht autorisierten Nutzers einerseits Außenstehende, sog. Outsider, die sich unberechtigten Systemzugang verschaffen. Andererseits gehören auch genehmigte Nutzer, sog. Insider, die ihre Rechte überschreiten dazu (Axelsson und Sands 2006, S. 17-18). Anderson (1980 S. 6ff.) differenziert die verschiedenen Arten von Hackern schärfer. Grundsätzlich unterscheidet er interne und externe Angreifer nach folgendem Schaubild.

Abbildung in dieser Leseprobe nicht enthalten

Bild 2 - 1 Unterschiedliche Nutzergruppen (Anderson 1980, S. 8)

Nach obiger Abbildung sind externe Eindringlinge fremde Personen, die der Organisation nicht angehören. Eines der größten Probleme für diese Gruppe besteht darin, physischen Zugang zu den Terminals zu erlangen. Bei vernetzen Computerressourcen, wie heutzutage üblich, muss in die Kommunikationskanäle des Netzwerks eingedrungen werden. Zudem gelten auch Mitarbeiter, die Zugang zu den physischen Räumen haben, aber kein berechtigter Computernutzer sind, als externe Angreifer. Für sie ist es leichter, über die für sie zugängliche Hardware in das Zielsystem zu gelangen. Es besteht jedoch die Möglichkeit, dass diese Personen durch Zugangskontrollen o.ä. entdeckt werden. Anderson definiert einen externen Hacker als internen sobald der äußere Ring der externen Zugangskontrollen, z.B. Firewall oder Eingangskontrollen, überwunden ist. Interner Missbrauch geschieht häufiger und kann von drei verschiedenen Nutzergruppen ausgehen. Die Maskierten (engl. Masquerades) bezeichnen erfolgreiche externe Eindringlinge sowie autorisierte Nutzer, die unter einem anderen genehmigten Account arbeiten. Ihre Handlungen sind zusätzliche Aktivitäten zu denen des normalen Nutzers und fallen durch anormale Systemwerte auf. Die zweite Nutzergruppe sind legitime Nutzer. Diese handeln missbräuchlich oder nachlässig durch die ungerechtfertigte Nutzung ihres autorisierten Zugangs zu System und Daten. Ein Beispiel dafür ist der private Gebrauch der für geschäftliche Zwecke gewährten Privilegien. In geringem Umfang wird dieser kaum erkannt. Das Überschreiten gewährter Nutzerrechte bei der Nutzung nicht genehmigter Bereiche kann dagegen erkannt werden. Die dritte Gruppe sind heimliche Nutzer (engl. Clandestine User). Angreifer dieser Art haben oder beschaffen sich administrative Kontrolle und arbeiten unter dem Level, auf dem das System überwacht wird[1]. Eine Entdeckung ist kaum möglich, da keine Aufzeichnungen über die Aktivitäten des Hackers existieren. (Anderson 1980, S. 6-16)

2.4 Intrusion Detection und Intrusion Detection Systeme

Intrusion Detection wird allgemein als Prozess der Überwachung und Analyse von Ereignissen in einem Computersystem oder Netzwerk auf der Suche nach Anzeichen für Verletzungen der Sicherheitspolitik bezeichnet (Axelsson und Sands 2006, S. 17; Bace 2000, S. 3; Scarfone und Mell 2007, Kap. 2, S. 1). Systeme, die diesen Prozess automatisch oder halbautomatisch durchführen heißen Intrusion Detection Systeme (IDS). Synonym wird auch die Bezeichnung ID-Systeme verwendet. Es ist bei der Analyse unerheblich, ob der Angriff Erfolg hatte oder nicht (Allen et al. 2000, S. 7). Ein IDS ist darauf ausgerichtet, jede Sicherheitsverletzung anzuzeigen. Die detaillierte Beschreibung von Intrusion Detection Systemen folgt in Kapitel 4.2.

2.5 Computer und Netzwerke

Für die Überwachung eines Systems werden alle Vorgänge auf einem Host oder in einem Netzwerk aufgezeichnet, vergleichbar mit der Videoüberwachung in einer Tankstelle. Den Prozess bezeichnet die Literatur allgemein als Audit (Meier 2007, S. 10; Sobirey 1999, S. 13), angelehnt an den Begriff aus dem Rechnungswesen. Der Definition von Anderson (1980, S. 1), ATIS (2007) und Meier (2007, S. 11) folgend sind die Informationen über die Systemaktivitäten in Auditberichten, sog. Audit-Records enthalten, die zusammengefasst, zeitlich geordnet einen Audit-Trail bilden. Audit-Records werden aus den Daten der SMF Records gewonnen (Anderson 1980, S. 1), die prozess- und systembezogene Informationen sammeln und speichern (IBM 2007, Kap. 1, S. 1).

Host oder Host Computer bezeichnet einen einzelnen Rechner in einem Netzwerk. Ein solcher Host ist dadurch gekennzeichnet, dass er den Nutzern verschiedene Programme bereitstellt. Letztere werden in der IT-Sprache auch als Applikation bezeichnet (ATIS 2007). Mehrere zusammengeschlossene Hosts, also Personalcomputer und Server, bilden ein Netzwerk, z.B. ein Firmenintranet. Innerhalb dieses Netzwerkes, das z.B. durch Firewalls vor der Öffentlichkeit geschützt ist, kommunizieren die technischen Einheiten miteinander.

Die Kommunikation eines Netzwerkes erfolgt meistens über das Transmission Control Protocol/Internet Protocol (TCP/IP). Dieses Netzwerkprotokoll besteht aus vier Schichten. Die zu transferierenden Daten eines Nutzers werden für den Transport von der höchsten zur niedrigsten Schicht transformiert. Dabei fügt jede Schicht mehr Informationen hinzu. Die niedrigste, physische Schicht versendet dann die kumulierten Daten an den Empfänger. Bei diesem erfolgt die Transformation in entgegengesetzte Richtung bis zur höchsten Schicht. (Scarfone und Mell 2007, Kap. 4, S. 1)

3 Forschungsfrage

Die Modellierung des Angreiferverhaltens als Ziel der in der Einleitung erwähnten Forschungsarbeit berücksichtigt mehrere Faktoren, z.B. die Höhe der Belohnung bei Erfolg und der Strafe bei Entdeckung des Angriffs. Ausschlaggebend ist auch, ob der Angreifer von der Existenz eines Intrusion Detection Systems in dem Zielsystem weiß. Mit Hilfe von zusätzlichen Informationen über das eingesetzte IDS versucht er die Wahrscheinlichkeit, dass er entdeckt wird, abzuleiten. Nach dieser Entdeckungswahrscheinlichkeit, also der Gefahr erkannt und gegebenenfalls bestraft zu werden, wird er in Verbindung mit den anderen Faktoren sein Verhalten und seine Angriffsstrategie ausrichten.

Die Erkennungswahrscheinlichkeit von Angriffen ist ein Merkmal für die Güte eines ID-Systems. Sie soll möglichst hoch sein, um alle Eingriffe sicher zu erkennen. Dabei muss für eine effektive Aufdeckung die Fehlalarmquote gleichzeitig niedrig sein. Dies gilt sowohl für ein fälschlicherweise alarmiertes Normalverhalten als auch für unerkannte Angriffe. In bisherigen Studien wird die Erkennungswahrscheinlichkeit meist als fixe, gegebene Größe angenommen (z.B. Cavusoglu et al. 2005, S. 33 u. S. 35ff.), die hauptsächlich durch die verwendete Technik bestimmt wird. Laut Scarfone und Mell (2007, Kap. 3, S. 3) hängt der Wert einerseits von der angewandten Analyseart, Missbrauchs- oder Anomalieerkennung und der speziellen Analysemethode ab. Andererseits spielt die Konfiguration des IDS eine wichtige Rolle. Restriktivere Einstellungen, die nur auf bestimmte Muster reagieren, z.B. genau die Zeichenkette „aabac“ oder „mehr als drei fehlgeschlagene Log-In-Versuche innerhalb von 30 Sekunden sind verdächtig“, erhöhen die Exaktheit der Angriffsentdeckung. Die definierten Attacken werden so mit einer geringeren Fehlalarmquote richtig erkannt. Gleichzeitig verringert sich durch die höhere Spezifität die Erkennungswahrscheinlichkeit insgesamt, da nur Angriffe erkannt werden, die genau den restriktiveren Vorgaben entsprechen. Der Anteil der nicht erkannten Angriffe nimmt dann zu.

Die vorliegende Arbeit ist durch die Vermutung motiviert, dass die Erkennungswahrscheinlichkeit neben den oben genannten Kennzahlen zusätzlich von der Intensität des Angriffs beeinflusst wird. Zahlreiche Angriffe oder Aktionen von Attacken funktionieren nach dem Trial-and-Error-Prinzip, z.B. eine Anfrage, mit der jeder Server eines Netzes nach und nach auf eine bestimmte Schwachstelle getestet oder eine bestimmte Information abgefragt wird (Scarfone und Mell 2007, Kap. 2, S. 1). Andere Angriffsarten, z.B. Denial of Service Attacken, führen mehrmals dieselbe Aktion aus, um eine Systemüberlastung herbeizuführen (Amoroso 1999, S. 110). Mit der zunehmenden Anzahl an Ausführungen der gleichen Attacke wird eine Entwicklung der Wahrscheinlichkeit, den Eingriff zu entdecken, unterstellt. Es erscheint nicht realistisch, dass ein und derselbe Angriff mit immer der gleichen, konstanten Erkennungswahrscheinlichkeit von z.B. 70% (Lippmann et al. 2000, S. 590) aufgedeckt wird.

Die ID-Systeme der Missbrauchserkennung, dem Basisansatz der Intrusion Detection, vergleichen die Aufzeichnungen des Systemverhaltens im Alltag mit vorgegebenen, als gefährlich definierten Mustern. Beim Auffinden eines solchen Musters wird ein Alarm ausgelöst, der somit konkret das Vorliegen einer sicherheitskritischen Aktivität, d.h. eines Angriffs, kennzeichnet. Für das exakte Entdecken von Angriffen müssen deren genauen Charakteristika bekannt sein. Es ist zu beachten, dass die gleiche Attacke, d.h. mit demselben Ziel und gleichen Aktionen, bei jeder Ausführung zu unterschiedlichen Audit-Records führen kann. Das ist möglich, da die Aktivitäten eines Angriffs bei der Ausführung vertauscht oder unkritische Aktivitäten eingeschoben werden können, ohne den Angriffserfolg zu gefährden (Ilgun et al. 1995, S. 184). Die erzeugte Signatur bei der ersten Durchführung eines Angriffs ist dem IDS möglicherweise nicht bekannt, so dass kein Alarm erzeugt wird. Jede weitere Ausführung derselben Attacke erzeugt eine neue, etwas variierte Angriffsstruktur, bei der die Chance besteht, dass sie das ID-System bereits kennt und einen Alarm auslöst. Die zunehmende Angriffsintensität scheint zu einer wachsenden Erkennungswahrscheinlichkeit zu führen. Ein weiterer Aspekt in der Missbrauchserkennung ist die Zeit. Es gilt dabei zu beachten, dass die Intensität eines Angriffs sich nicht nur auf eine Person bezieht. Auch die Durchführung derselben Attacke durch unterschiedliche Angreifer erhöht die Gesamtanzahl an gleichen Angriffen. Es verstreicht somit einerseits Zeit zwischen den Angriffsversuchen verschiedener Personen und andererseits nimmt die mehrmalige Durchführung eines Angriffs aufgrund von Vorbereitungen und der Ausführung selbst einige Zeit in Anspruch. Während dieser Zeit besteht die Möglichkeit, dass der Angriff irgendwo erkannt und analysiert wird. Die entdeckten Angriffsmerkmale können dann über ein Update in das IDS des Zielsystems aufgenommen werden, so dass der nächste Angriffsversuch erkannt wird. Die zunehmende Angriffsintensität scheint daher auch über den Zeitaspekt zu einer wachsenden Erkennungswahrscheinlichkeit zu führen.

Intrusion Detection Systeme der zweiten Kategorie, der Anomalieerkennung, messen die Abweichung des aufgezeichneten täglichen Systemverhaltens von den als normal eingestuften Aktivitäten. Je nach Ausmaß der Verschiedenartigkeit wird ein Alarm ausgelöst, der anormales Verhalten, sog. Anomalien anzeigt. Aus logischen Überlegungen scheint es realistisch, dass ein Angriff oder eine sicherheitskritische Aktivität noch nicht solche Abweichungen erzeugen, die als anormales Verhalten auffallen. Mit den folgenden Durchführungen derselben Handlungen weicht das Systemverhalten immer weiter vom Normalen ab, so dass beispielsweise der zwanzigste Angriff einen Alarm auslöst. Mit zunehmender Intensität wird daher auch hier eine wachsende Erkennungswahrscheinlichkeit vermutet.

Die vorliegende Arbeit überprüft die eben vorgestellten, logischen Überlegungen anhand vorliegender Ergebnisse aus der Fachliteratur. Desweiteren wird in verschiedenen Szenarien der mögliche Verlauf der Erkennungswahrscheinlichkeit mit zunehmender Intensität des Angriffs für Missbrauchs- und Anomalieerkennung hergeleitet. Ziel ist es, aus den Einzelergebnissen eine allgemeine Wahrscheinlichkeitsverteilung für das Erkennen von Angriffen zu ermitteln. Sie bildet die Grundlage für die Modellierung des Verhaltens eines finanziell motivierten und rational handelnden Angreifers, mit Hilfe dessen die optimale Investitionsstrategie für die IT-Sicherheit eines Unternehmens abgeleitet werden soll.

4 Ergebnisse der Literatur

Die Thematik Intrusion Detection ist knapp 30 Jahre alt und hat ihren Ursprung in der Arbeit von Anderson (1980), der die o.g. verschiedenen Typen von Angreifern definierte. Für die Gruppe von Angreifern, die unter gestohlener Identität arbeiten, nahm er an, dass sie aufgrund ihres abweichenden Verhaltens von dem des eigentlichen Nutzers erkannt werden können. Seitdem befasst sich die Forschung mit möglichen Angriffen und ihrer Abwehr. Nach 1990 verstärkte sich die Vernetzung der Computer und das Internet verbreitete sich, so dass neue Möglichkeiten für Angriffe auf Computer und Netzwerke entstanden (Allen et al. 2000, S. 5). Im Zuge dessen intensivierten sich die Bemühungen zur Erforschung von Abwehrmaßnahmen und auch die Anzahl der Veröffentlichungen nahm zu. Angepasst an die neuen Situationen wurden neue Systeme entwickelt, z.B. IDES (Lunt et al. 1990), EMERALD (Porras und Neu-mann 1997) und SNORT (Roesch 1999).

Im ersten Abschnitt dieses Kapitels erfolgt der Einstieg in die Thematik der Ein- und Angriffe mit Beschreibungen der wichtigsten Angriffsarten. Es soll erörtert werden, welche Gefahren grundsätzlich drohen und wie sich die Attacken auswirken. Anschließend werden Intrusion Detection Systeme als Abwehrmaßnahme für Angriffe vorgestellt. Auf die Beschreibung des allgemeinen Aufbaus folgt die Vorstellung der verschiedenen IDS-Arten und -methoden. Bisherige Untersuchungen zur Effektivität und der Erkennungswahrscheinlichkeit dieser Systeme fließen hier mit ein. Im abschließenden Teil des vierten Kapitels wird erörtert, inwieweit die bisherigen Erkenntnisse der Fachliteratur die in Kapitel 3 aufgeworfene Forschungsfrage bereits beantworten.

4.1 Angriffe

Angriffe auf Computersysteme gingen in den 1980ern immer von Computerexperten aus, die mit ihrem fundierten Wissen eigene Methoden zum Einbruch in ein IT-System entwickelten.

Abbildung in dieser Leseprobe nicht enthalten

Bild 4 - 1 Angriffsraffinesse vs. technisches Angreiferwissen (Allen et al. 2000, S. 4)

Die obere Grafik veranschaulicht die Weiterentwicklung der Angriffe bis heute. Im Laufe der Jahre entstanden Tools, die Standardangriffe automatisch ausführen können. Das führte zu einer starken Verringerung des benötigten Wissens für einen Angriff. Die Gruppe der Personen, die in der Lage sind, einen Angriff auszuführen, wuchs immer weiter an. Die zunehmende Angriffsgüte begründet sich auf die ebenfalls zunehmende Versiertheit erfahrener Hacker mit fundiertem technischem Wissen. Sie entwickelten immer bessere Methoden, die immer schwerer entdeckt werden konnten und reagierten immer schneller auf erkannte Systemschwächen. (Allen et al. 2000, S. 5)

Es gibt viele unterschiedliche Angriffsarten, die unterschiedliche Ziele verfolgen. Eine grundlegende Art sind Scanning Attacken, beschrieben von Bace und Mell (2001, S. 41). Sie dienen dem Angreifer in der Vorbereitung dazu, Auskünfte über das Zielsystem zu erhalten. Er erlangt so Informationen über Systemzustände, z.B. über aktive Ports und über Systemschwächen, z.B. eine Aufzählung von Hosts, die für eine bestimmte Attacke anfällig sind. Beispielhaft für das Erlangen von Wissen über aktive Ports ist der TCP Port Scan, erläutert von Helden und Karsch (1998, S. 16). Dabei sendet der Angreifer SYN an den Zielport und erhält die SYN/ACK-Nachricht als Antwort des Systems. Mit dem anschließend durch den Angreifer versendeten ACK baut sich eine Verbindung auf. Das System teilt durch diese Interaktion mit, dass der angesprochene Port aktiv und ein Zugang zum System möglich ist.

Eine weitere Form sind Denial of Service (DoS) Attacken. Diese zielen darauf ab, durch die unberechtigte Belegung von Ressourcen bestimmte Dienste zu überlasten und die Verfügbarkeit zu beeinträchtigen. Zwei Wege führen zu einem Systemausfall. Einerseits die Ausnutzung von Fehlern. Ziel ist es, die Systemressourcen zu verbrauchen oder einen Bearbeitungsfehler zu generieren. Die Ping of Death Attacke als Beispiel für die Erzeugung eines Bearbeitungsfehlers versendet Echo Request Pakete, sog. Ping Pakete (Helden und Karsch 1998, S. 24). Diese dienen eigentlich zur Überprüfung, ob ein Host mit einem entfernten Computer über ein Netzwerk kommunizieren kann (ATIS 2007). Versendet der Angreifer Ping Pakete, die die definierte kritische Größe überschreiten, kann das System diese nicht verarbeiten und bricht zusammen. Andererseits bewirkt auch der zweite Weg, die Überflutung eines Systems, dessen Absturz. Dabei sendet der Angreifer mehr Informationen als das System verarbeiten kann. Für die Beeinträchtigung eines bedeutenden E-Commerce-Anbieters bedarf es dabei der gleichzeitigen Penetration von ca. 20.000 Hosts. Ein Beispiel für diese Art ist die SYN Flood Attacke beschrieben von Helden und Karsch (1998, S. 29). Wie beim TCP Port Scan sendet der Angreifer SYN an das Zielsystem. Dieses antwortet mit SYN/ACK und reserviert gleichzeitig Ressourcen für die geplante Verbindung. Die Antwort der ACK-Nachricht durch den Hacker bleibt jedoch aus und die Verbindung ist schwebend oder halboffen. Der Angreifer versucht weitere halboffene Verbindungen herzustellen. Das System bindet immer mehr Ressourcen bis die Kapazität erschöpft ist. Die Ausführung der Dienste erfolgt dann nur noch langsam oder gar nicht mehr. (Bace und Mell 2001, S. 42)

Die dritte wichtige Art sind Angriffe auf die Integrität und Vertraulichkeit. Ziel ist der Zugriff auf Daten, Ressourcen und Nutzerrechte sowie deren unerlaubte Modifikation. Die häufigsten Attacken dieser Art sind User to Root, bei der ein lokaler Nutzer alle Kontrollen über den Host erhält, die Remote to User, mit der ein Angreifer den Zugang eines legitimen Nutzers auf einem Host erlangt und die Remote to Root, die dem externen Angreifer die gesamte Kontrolle über einen Host verschafft. Außerdem ist es möglich, dass ein Hacker private Daten des Zielcomputers einsieht ohne Zustimmung des Besitzers, sog. Remote Disk Read oder sogar Daten verändert bei der Remote Disk Write Attacke. (Bace und Mell 2001, S. 43)

Meier (2007, S. 21) unterteilt die Angriffe nach einem anderen Aspekt. Single Step Attacken bezeichnen Eingriffe, die anhand eines einzigen Audit-Records identifiziert werden. Die Signaturen dafür bestehen aus typischen Byte-Sequenzen. Diese können einzeln oder kombiniert auftreten und deuten auf einen Missbrauch hin. Bei Multi Step Attacken dagegen finden sich die charakteristischen Merkmale in mehreren Audit-Records. Nur wenn diese in Zusammenhang gebracht werden, wird der Angriff erkannt. Dieser Einteilung entsprechend können ID-Systeme klassifiziert werden. Single Step IDS erkennen nur Single Step Attacken und arbeiten hauptsächlich mit String-Vergleichen. Eine Erweiterung stellen die Multi Step IDS dar, die mit komplexeren Analyseverfahren auch Multi Step Attacken identifizieren. (Meier 2007, S. 21)

Prinzipiell kann jeder Angriff mehrmals ausgeführt werden. Einfachere, standardisierte Attacken können mit der Unterstützung durch Tools von vielen Personen angewandt werden. Bei ihnen scheint die Tendenz zur Mehrfachanwendung sehr groß zu sein, da mit wenig Fachwissen Informationen erlangt und Schaden angerichtet werden kann. Gleichzeitig ist die Gefahr einer Entdeckung groß. Sicherheitsfirmen und IDS kennen die standardisierten Vorgehensweisen und entdecken diese leichter. Individuelle Angriffe, die auf ganz bestimmte Informationen abzielen, erfordern tieferes Wissen. Der Kreis der Anwender beschränkt sich auf wenige Experten, die die Prozedur mit dem nötigen Know-How durchführen können. Gleichzeitig erfordern diese Angriffe mehr Zeit in der Vorbereitung, für die Erstellung und bei der Ausführung, aufgrund der längeren und komplexeren Vorgehensweise. Derartige Angriffe kommen weniger oft zum Einsatz und werden nur selten durch automatische Intrusion Detection erkannt.

4.2 Intrusion Detection Systeme

Die zunehmende Vernetzung der Computer und die immer unkompliziertere Kommunikation über das Internet stellten neue Gefahrenquellen für IT-Systeme dar. Hinzu kam die in Abschnitt 4.1 beschriebene Verringerung des benötigten Wissens für Computereinbrüche durch automatische Tools, so dass die Menge der potenziellen Angreifer wuchs. Insgesamt stieg dadurch bei den Unternehmen die Nachfrage nach Schutzsystemen für Computer und Netzwerke (Helden und Karsch 1998, S. 3; Meier 2007, S. 4).

Neben den traditionellen Zugangskontrollen wurden zunächst Firewalls zur Verhinderung unerwünschter Kommunikation entwickelt (Bace 2000, S. 35; BSI o.J.). Alle diese präventiven Maßnahmen zielen darauf ab, einen möglichen Einbruchsversuch zu erschweren bzw. gänzlich zu verhindern (Cavusoglu et al. 2005, S. 28). Sie bergen jedoch Gefahren. Einerseits spielt die menschliche Komponente eine wichtige Rolle. So kann der fahrlässige Umgang des berechtigten Nutzers zu einer nicht autorisierten Nutzung durch fremde Dritte führen. Immer wieder erhalten Angreifer durch Unachtsamkeit von Berechtigten z.B. Benutzername und Kennwort für eine Applikation oder einen Host. Außerdem gibt es auch Angriffe von berechtigten Nutzern, sog. Insidern, die ihre Berechtigungen überschreiten oder missbrauchen, wie in Kapitel 2.3 beschrieben (Anderson 1980, S. 11; Meier 2007, S. 8). Neben menschlichen Fehlern ist andererseits auch die Technik nicht perfekt. Die Systeme bieten z.B. aufgrund von Programmier- oder Einstellungsfehlern keinen 100%-igen Schutz (Cavusoglu et al. 2005, S. 29; Meier 2007, S. 8). Ergänzend dazu sollen Intrusion Detection Systeme als Schutz in der zweiten Reihe dienen (Biermann et al. 2001, S. 676). Sie identifizieren Angriffe, die von den präventiven Maßnahmen nicht verhindert werden konnten. Das Erkennen eines Angriffs wird durch einen Alarm angezeigt, der ggf. eine direkte Information an den Sicherheitsverantwortlichen oder erste Gegenmaßnahmen enthält (Axelsson und Sands 2006, S. 22). Der letzte Aspekt erwähnt bereits eine weitere wichtige Entwicklung im Bereich der IT-Sicherheit, die Intrusion Prevention Systeme (IPS). Sie erkennen ebenfalls Angriffe und reagieren im Gegensatz zu klassischen Detection Systemen weitgehend selbständig darauf. Die Reaktionen gehen über die reine Information von Verantwortlichen hinaus. Typische Abwehrmaßnahmen sind die Trennung der Verbindung über die der Angriff stattfindet, das Abschalten des gesamten Systems oder ein Gegenschlag in Richtung des Angreifers (Scarfone und Mell 2007, Kap. 2, S. 3). Das Ziel ist es, nicht nur Angriffe zu melden, sondern möglichen Schaden zu beschränken oder zu verhindern (Meier 2007, S. 8). Die verwendeten Methoden zur Angriffserkennung sind dieselben wie bei ID-Systemen (Scarfone und Mell 2007, Kap. 2, S. 1). Aus diesem Grund und im Einklang mit dem rahmengebenden Forschungsprojekt beschränkt sich die vorliegende Arbeit auf die Analyse von Intrusion Detection Systemen und verzichtet auf eine detaillierte Darstellung von IPS.

In der Literatur wird über einen möglichen Effekt der Abschreckung durch IDS diskutiert (Cremonini und Nizovtsev 2006, S. 4; Meier 2007, S. 8). Die Hypothese lautet, dass allein das Vorhandensein eines ID-Systems mögliche Hacker abschreckt, wenn sie von dessen Existenz wissen. Dieser Effekt wird in die vorliegende Arbeit nicht einbezogen, da die Analyse auf der Anzahl an durchgeführten Angriffen, der Angriffsintensität, aufbaut. Möglicherweise unterlassene Attacken aufgrund der Gefahr der Entdeckung werden nicht berücksichtigt.

Dieses Kapitel stellt Intrusion Detection Systeme detailliert vor. Zunächst wird der generelle Aufbau von ID-Systemen erläutert. Die anschließenden Abschnitte stellen die verschiedenen Arten von Systemen vor und erklären ihre Funktionsweise. Aussagen über die Erkennungswahrscheinlichkeit aus den wenigen bisherigen Studien fließen ein, sind jedoch meist qualitativ. Abschließend werden spezielle Methoden der unterschiedlichen Analysearten detailliert beschrieben.

4.2.1 Komponenten von Intrusion Detection Systemen

Die unterschiedlichen Aufgaben der Überwachung, Analyse und Reaktion werden von unterschiedlichen Komponenten der ID-Systeme ausgeführt. Die Ereigniskomponente erfasst die Aktivitäten im System und stellt sie als Audit-Records bereit. Diese werden von der Analysekomponente mit Hilfe von Informationen aus der Datenbank auf Anzeichen für Angriffe untersucht. Aufbauend auf deren Ergebnissen führt die Reaktionskomponente Maßnahmen aus. (Bace 2000, S. 27; Helden und Karsch, 1998, S. 9)

Die folgenden Abschnitte erläutern Aufbau und Funktion der jeweiligen Komponente detailliert und beschreiben deren Einfluss auf die Erkennungswahrscheinlichkeit von Angriffen. Das hier vorgestellte Konzept der Komponenten lehnt sich an den Common Intrusion Detection Framework (CIDF) an, der einen Ansatz zur Standardisierung von Intrusion Detection Systemen darstellt (siehe Amoroso 1999, S. 94; Meier 2007, S. 9ff.).

4.2.1.1 Ereigniskomponente

Die Basis eines IDS bildet die Ereigniskomponente, die Event Generator oder E-Box im CIDF genannt wird (Amoroso 1999, S. 26). Sie sammelt Daten über das zu schützende System und stellt sie für die Analyse bereit. Dieser Vorgang wurde in Kapitel 2.5 als Audit definiert. Entsprechend den Anforderungen an das System, z.B. dass die Analyse in Echtzeit erfolgen soll, muss die Ereigniskomponente mit Fähigkeiten und Kapazitäten ausgestattet werden (Amoroso 1999, S. 74).

Die physische Datensammlung erfolgt über Sensoren. Diese müssen nicht unmittelbar am oder im IDS platziert sein (Amoroso 1999, S. 26). Vor allem bei netzwerkbasierten Systemen wird die Hardware an kritischen Punkten im Netz installiert, um Netzwerkpakete und andere Spuren für ein gesamtes Netzwerksegment zu überwachen (Allen et al. 2000, S. 9; Scarfone und Mell 2007, Kap. 3, S. 1). Das ID-System selbst arbeitet auf einem zentralen Rechner und erhält die Auditdaten von den dezentralen Sensoren. Eine weitere Methode der Datensammlung sind Sniffer. Dabei handelt es sich um Software (ATIS 2007), die im nicht-promiskuitiven Modus den ankommenden und abgehenden Datenverkehr des Computers aufzeichnet, auf dem sie installiert ist. Im Promiskmodus zeichnet das Programm den gesamten Datenverkehr auf, der durch diese Netzwerkschnittstelle fließt (Scarfone und Mell 2007, Kap. A, S. 2). Bei hostbasierten Systemen ist die Bezeichnung der Sensoren als „Agent“ üblich (Scarfone und Mell 2007, Kap. 3, S. 1). Die Auditfunktion muss hier nicht notwendigerweise Bestandteil des IDS sein. Die meisten der gängigen Betriebssysteme z.B. Windows und UNIX auditieren selbst die Systemaktivitäten (Amoroso 1999, S. 22; Helden und Karsch, 1998, S. 8). Ihre gesammelten Daten werden an das IDS weitergeleitet und dort verarbeitet.

Die Ereigniskomponente erfasst erstens quantitative Informationen, z.B. wie viele SYN-Pakete ein Port in einer bestimmten Zeit erhielt. Zweiter Bestandteil sind qualitative Aussagen, z.B. dass der User X fünf Emails an dieselbe Adresse schickte und anschließend eine Datei löschte (Helden und Karsch, 1998, S. 9). Für die Erkennung von Angriffen müssen alle sicherheitsrelevanten Aktivitäten protokolliert werden (Meier 2007, S. 10).

Qualität und Quantität der Auditdaten sind auschlaggebend für die Erkennungsgenauigkeit. Während eines normalen Arbeitstages können für einen Host mehrere tausend Audit-Records erstellt werden (Axelsson 2000, S. 191). Die Datenmenge wird dann schnell unübersichtlich und schwer zu handhaben für Echtzeitanalysen. Die Anforderung der Qualität beschreibt die Notwendigkeit genau die Daten zu erfassen, die für die Angriffserkennung erforderlich sind, ohne unnötige Informationen zu berücksichtigen. Dies wird vor allem von der Abstraktionsebene bestimmt, auf der die Protokollierung statt findet (Helden und Karsch 1998, S. 10), z.B. auf Ebene des Betriebssystems mit Informationen über die CPU-Auslastung oder auf Applikationsebene zur Erfassung von Programmzugriffen. Die meisten IDS sind auf TCP/IP-basierte Analysen ausgerichtet (Amoroso 1999, S. 74) und beobachten die Netzwerkkommunikation auf der höchsten oder zweithöchsten Schicht, der Anwendungs- oder Transportschicht (Lindqvist und Porras 1999, S. 155). Die Güte der von der Ereigniskomponente gesammelten Daten bestimmt somit maßgeblich den Erfolg der Analysekomponente (Helden und Karsch 1998, S. 9).

Die Erfassung der Auditdaten durch die Ereigniskomponente bildet den Grundstein für die korrekte Erkennung von Angriffen. Aufgrund der Rahmenbedingungen erfolgt in der vorliegenden Arbeit keine genaue Untersuchung des Einflusses der E-Box auf die Erkennungswahrscheinlichkeit. Wie in Meier (2007, S. 12) wird davon ausgegangen, dass alle relevanten Systemaktivitäten entsprechend der Analyseart[2] auf optimale Weise erfasst werden.

4.2.1.2 Analyse- und Datenbankkomponente

Der Hauptbestandteil eines ID-Systems ist die Analysekomponente, nach CIDF Analysis Engine oder A-Box genannt (Amoroso 1999, S. 27). Sie erhält die relevanten Audit-Records von der Ereigniskomponente und untersucht diese auf Sicherheitsverletzungen. Für die Analyse werden zusätzlich gespeicherte Informationen aus der Datenbankkomponente verwendet. (Meier 2007, S. 12; Scarfone und Mell 2007, Kap. 3, S. 1)

Die Analysekomponente führt die festgelegten Algorithmen und statistischen Berechnungen aus (Amoroso 1999, S. 71). Eine Beschreibung der gängigsten Analysemethoden im Rahmen von Missbrauchs- und Anomalieerkennung erfolgt in Kapitel 4.2.3. Es ist dabei möglich, dass die A-Box-Funktionen nicht zentral, sondern verteilt auf verschiedenen Komponenten des zu schützenden Systems laufen (Amoroso 1999, S. 95). Die Überprüfung der Daten kann verschiedene Ergebnisse zur Folge haben. Erkennt das IDS einen Angriff korrekt oder klassifiziert es ein normales Verhalten als unkritisch, so handelt es sich um True Positives, echte Angriffe oder True Negatives, d.h. echtes Normalverhalten (Meier 2007, S. 12). Der Anteil der True Positives wird durch die Erkennungsrate des IDS ausgedrückt (Axelsson 2000, S. 192), die möglichst hoch, d.h. nahe Eins, sein soll. Gibt das IDS eine falsche Einschätzung ab, kann es sich zum einen um False Positives, also alarmiertes Normalverhalten oder um False Negatives, d.h. unerkannte Angriffe handeln (Meier 2007, S. 12). Die False Positives werden zur Fehlalarmrate zusammengefasst (Axelsson 2000, S. 192), die bei der Bewertung von ID-Systemen ebenso wichtig ist, wie die Erkennungsrate (Cavusoglu et al. 2005, S. 29). Zwischen den beiden Kennzahlen herrscht ein Trade-off (Cavusoglu et al. 2005, S. 31). Für eine höhere Erkennungswahrscheinlichkeit, d.h. mehr erkannte Angriffe, sind weniger restriktive Einstellungen des IDS notwendig. Die Veränderlichkeit der Daten, die normale und anormale Aktionen beschreiben, führt dazu, dass dann auch gehäuft unkritische Aktionen als Angriff eingestuft werden (Cavusoglu et al. 2005, S. 31). Die allgemeinere Regel, dass drei fehlgeschlagene Log-In-Versuche verdächtig sind, stuft mehr Handlungen als Angriff ein, als die speziellere Aussage, dass drei erfolglose Log-In-Versuche innerhalb von 30 Sekunden auf eine Sicherheitsverletzung hindeuten.

Referenzdaten für die Analyse und die Analysemethoden selbst, z.B. Algorithmen oder Expertenregeln, sind in einer Datenbank gespeichert, dem sog. Storage Mechanism oder D-Box. Es handelt sich bei Referenzdaten um Angaben über aktuelle Aktivitäten und frühere Systemvorgänge sowie um Informationen über normale oder als gefährlich eingestufte Aktionen und die Methoden zu ihrer Erkennung (Amoroso 1999, S. 85 u. S. 95). Außerdem sind die bei einem erkannten Angriff durchzuführenden Reaktionsmaßnahmen hinterlegt (Amoroso 1999, S. 85). Diese Daten dienen dazu, Systemaktivitäten nachzuvollziehen und zu verifizieren und bilden dadurch einen weiteren zentralen Bestandteil eines ID-Systems (Axelsson 2006, S. 21). In manchen Fällen erfolgt nach Ergebnisermittlung eine Aktualisierung der gespeicherten Daten, um neue Entwicklungen zu erfassen und bei zukünftigen Analysen zu berücksichtigen (Amoroso 1999, S. 71). Für exakte und schnelle Analysen ist es wichtig festzulegen, in welcher Art und über welchen Zeitraum die Speicherung erfolgen soll (Amoroso 1999, S. 27). Dazu muss berücksichtigt werden, dass einerseits genügend relevante Informationen vorhanden sind und andererseits keine unnötige Speicherbelastung entsteht.

Neben der Ereigniskomponente beeinflusst die Analysekomponente die Erkennungswahrscheinlichkeit am stärksten. Dieser Zusammenhang ist zentraler Gegenstand der vorliegenden Arbeit. Ausgehend von bestimmten Analysemethoden soll auf die allgemeine Wahrscheinlichkeitsverteilung für das Erkennen von Angriffen in Abhängigkeit von der Angriffsintensität geschlossen werden.

4.2.1.3 Reaktionskomponente

Auf erkannte Sicherheitsverletzungen muss angemessen reagiert werden, was die Reaktionskomponente, auch R-Box genannt, veranlasst. Allerdings wird nicht jede als Intrusion klassifizierte Aktivität alarmiert. Auf Basis der Ergebnisse der Analysekomponente entscheidet die Reaktionskomponente, ob ein Alarm erforderlich ist (Ilgun et al. 1995, S. 190). Sie prüft alle festgelegten Regeln, z.B. drei fehlgeschlagene Log-In-Versuche treten innerhalb von 30 Sekunden auf, für das Auslösen eines Alarms.

Zunächst müssen die Ergebnisse der Analyse verständlich aufbereitet werden, um spätere Nachfragen beantworten zu können. Typischerweise erfolgt das mittels einer grafischen Benutzeroberfläche, einer sog. Konsole (Scarfone und Mell 2007, Kap. 3, S. 1). Die Ausgaben unterscheiden sich dabei nach der angewandten Analyseart[3] (Helden und Karsch, 1998, S. 12).

Nach Bace und Mell (2001, S. 8) und Meier (2007, S. 18) gibt es zwei Arten möglicher Reaktionen auf einen Angriff. Die Grundlage bilden passive Maßnahmen. Sie beinhalten hauptsächlich die Alarmierung des Site Security Officers (SSO) oder anderer Verantwortlicher und überlassen diesen weitere Schritte. Helden und Karsch (1998, S. 13) zeigen die vielfältigen Informationskanäle auf. In jedem Fall sollte die lokale Konsole, von der aus auch weitere Maßnahmen ergriffen werden können, einen Alarm anzeigen. Zusätzlich kann eine Benachrichtigung per Telefon oder über das Intranet erfolgen (Helden und Karsch, 1998, S. 13). Außerdem sollten dem Sicherheitsverantwortlichen die Analyseergebnisse auf der Konsole präsentiert werden, um angezeigte Eingriffe nachvollziehen und verifizieren zu können (Amoroso 1999, S. 27). Für eine schnelle Reaktion muss das Interface die angezeigten Informationen klar, kurz und einfach zu interpretieren darstellen sowie erste Antwortmaßnahmen anbieten (Amoroso 1999, S. 90-91). Eine weitere passive Reaktion ist die Weiterleitung der Ergebnisse an eine zentrale Managementkonsole, bei der alle Hinweise zusammenlaufen (Bace und Mell 2001, S. 23).

Eine aktive Reaktion dagegen bezeichnet das automatische oder halbautomatische Auslösen von Gegenmaßnahmen durch das IDS (Meier 2007, S. 18). Wie bereits weiter oben erwähnt sind vor allem Intrusion Prevention Systeme damit ausgestattet. Wichtige Maßnahmen sind die unmittelbare Rekonfiguration des IDS auf die neue Situation sowie die Rückverfolgung des Angreifers (Amoroso 1999, S. 27 u. S. 71).

Bace und Mell (2001, S. 21) definieren drei Arten aktiver Reaktionen. Erstens das Sammeln zusätzlicher Information für die Entscheidung ob und wenn ja, welche Gegenmaßnahme eingeleitet werden soll. Dies kann durch die sensiblere Einstellung der Ereigniskomponente geschehen. Ziel ist es, zukünftige Angriffe dieser Art schneller zu bekämpfen und ggf. rechtliche Maßnahmen einzuleiten. Die zweite Reaktion umfasst die bereits erwähnte Rekonfiguration. Zum Blocken der Attacke muss der Zugang des Angreifers verhindert oder beendet werden, z.B. durch TCP Reset Pakete an die Adresse des Angreifers zum Trennen der Verbindung oder die Rekonfiguration von Routern und Firewalls. Als Drittes können aktive Handlungen gegen den Angreifer erfolgen. Es ist zu beachten, dass diese Maßnahmen im rechtlichen Rahmen bleiben und den Angreifer nicht zu weiteren, gravierenderen Aktivitäten provozieren. (Bace und Mell 2001, S. 21-22)

Amoroso (1999, S. 89) sieht eine dritte Reaktionsart, die hybriden Maßnahmen. Dabei interagieren Mensch und IDS zusammen bei Gegenmaßnahmen zu einem Angriff und können optimal reagieren.

Generell ist es wichtig, alle Reaktionen unauffällig und wirksam, wie das Beobachten des Systemverhaltens, durchzuführen. Reaktionen, die den Angreifer auf das Intrusion Detection System aufmerksam machen, provozieren eine Attacke gegen das IDS selbst und gefährden damit den Schutz. (Bace und Mell 2001, S. 23)

4.2.2 Arten von Intrusion Detection Systemen

Unterschiedliche Voraussetzungen und verschiedene Ziele haben zur Entwicklung einer Vielzahl von Arten von ID-Systemen geführt. Alle Intrusion Detection Systeme lassen sich nach verschiedenen Aspekten unterscheiden. Die Einteilung nach der Datenquelle bezieht sich auf die Herkunft der Daten, vom Netzwerk oder vom Host. Eine Unterscheidung nach Anomalie- oder Missbrauchserkennung, wird in der Kategorie der Analyseart getroffen. Differenziert nach dem Zeitpunkt wann die gesammelten Daten ausgewertet werden, ergeben sich die zwei Kategorien für den Analysezeitpunkt, in Echtzeit oder verzögert. Die hier aufgeführten Kategorien erheben keinen Anspruch auf Vollständigkeit. Sie sind nicht disjunkt, sondern klassifizieren die Systeme nach unterschiedlichen Ansätzen. Eine typische IDS-Art ist z.B. die Realtime netzwerkbasierte Missbrauchserkennung, z.B. im System SNORT (Roesch 1999).

Neben den allgemeinen qualitativen Aussagen sollen quantitative Angaben einen ersten Eindruck über die Erkennungswahrscheinlichkeit der unterschiedlichen IDS geben. Die bedeutendsten und umfassendsten Studien über die Angriffserkennung von ID-Systemen sind die DARPA Evaluationen von 1998 und 1999 (Lippmann et al. 2000a; Lippmann et al. 2000b). Ihre Ergebnisse sind sehr ähnlich. In der vorliegenden Arbeit wird hauptsächlich auf die Studie von 1999 (Lippmann et al. 2000b) verwiesen, die mit 58 Angriffstypen mehr unterschiedliche Arten von Gefahren untersucht. Insgesamt erfolgt der Test mit über 200 bekannten und unbekannten Attacken an 18 host- und netzwerkbasierten Systemen. Lediglich 37 Angriffstypen von 58 werden von den getesteten IDS erkannt (Lippmann et al. 2000b, S. 588 u. S. 593). Weitere wichtige Erkenntnis ist die Feststellung, dass es kein „bestes“ System für alle Gefahren gibt (Lippmann et al. 2000b, S. 590).

4.2.2.1 Datenquellen

Die Quelle der beobachteten Daten wird nach dem Ort, an dem sie gesammelt werden, unterschieden (Bace und Mell 2001, S. 15). Die Position der Ereigniskomponente beeinflusst die Performance der einzelnen Rechner und grenzt bereits Arten von Angriffen aus, die nicht entdeckt werden können (McHugh 2001, S. 23). Systeme mit unterschiedlichen Datenquellen schließen sich jedoch nicht aus. Deren sinnvolle Kombination kann sogar den Schutz erhöhen (Laing 2000, S. 5).

Zunächst werden ID-Systeme beschrieben, die Daten auf Rechnern erfassen, sog. host- und applikationsbasierte IDS. Es folgt die Beschreibung des alternativen Konzepts, der netzwerkbasierten Systeme.

4.2.2.1.1 Hostbasierte Systeme

Systeme dieser Art bilden den Ursprung von ID-Systemen. In den 80er Jahren, als Computer noch kaum vernetzt waren, wurden alle kritischen Rechner mit einem eigenen Schutzsystem ausgestattet. (Laing 2000, S. 1)

Hostbasierte IDS (HIDS) werden gewöhnlich als Software auf kritischen Rechnern, z.B. öffentlich zugänglichen Servern, installiert. Sie sammeln dort Informationen auf der Ebene des Betriebssystems, z.B. durch das zu dem Betriebssystem gehörende Auditsystem. In den meisten Fällen erfolgt die Datensammlung kontinuierlich während des Betriebs des Computers, aber auch periodische Aufnahmen des Systemzustandes können Hinweise auf Eingriffe liefern (McHugh 2001, S. 22). HIDS ermöglichen eine genaue Analyse der Aktivitäten mit Informationen über involvierte Prozesse und Nutzer (Bace und Mell 2001, S. 16). Typische Inputdaten sind Audit-Trails von applikationsbasierten IDS, Log-Dateien und der Netzwerkverkehr für diesen Host. (Allen et al. 2000, S. 10; Bace 2000, S. 38; Laing 2000, S. 2; Scarfone und Mell 2007, Kap. 2, S. 7)

Für hostbasierte ID-Systeme ist es wichtig, den Umfang der Ereignisse, die auditiert werden sollen und die Detaillierungsebene des Audits in Abhängigkeit von der Systemumgebung und der drohenden Gefahr festzulegen. Mit steigendem Datenaufkommen sinkt die Rechnerleistung und mehr Speicherplatz ist erforderlich. Damit wird auch die benötigte Zeit für die Analysen, in Echtzeit oder als Batch-Prozess, beeinflusst. Bei zu wenigen Daten dagegen riskiert der Sicherheitsverantwortliche, dass einige Spuren von Angriffen nicht aufgezeichnet werden. (McHugh 2001, S. 22-23)

Hostbasierte IDS weisen zahlreiche Vorteile auf. Der höhere Detaillierungsgrad als bei Netzwerkdaten macht sie für die Intrusion Detection qualitativ geeigneter (Meier 2007, S. 21). So werden einerseits Angriffe entdeckt, die netzwerkbasierte Systemen nicht auffallen (Bace und Mell 2001, S. 16). Andererseits kann festgestellt werden, ob ein Angriff erfolgreich war und welche Auswirkungen es gibt (Laing 2000, S. 4).

Laing (2000, S. 4-5) führt weitere Vorteile auf. So bieten diese Systeme die Möglichkeit, Nutzer- und Dateizugänge zu beobachten, genauso wie Aktivitäten, die eigentlich nur mit Administratorrechten ausgeführt werden dürfen. Außerdem können wichtige Systemkomponenten und Schlüsselfunktionen überwacht werden. Der große Vorteil gegenüber netzwerkbasierten IDS liegt darin, dass die analysierten Log-Dateien von einer Datenverschlüsselung nicht betroffen sind. Will der Angreifer so seine Aktivitäten verschleiern, erkennt ein hostbasiertes IDS bei der logbasierten Analyse die sicherheitskritischen Operationen dennoch. Für das Hardwaremanagement und die zugehörigen Kosten ist es vorteilhaft, dass keine weitere Hardwarekomponente installiert werden muss. (Laing 2000, S. 4-5)

Allerdings erfordern diese Systeme die Konfiguration jedes einzelnen geschützten Rechners, was bei großen Netzwerken schnell zu hohem Aufwand führt (Meier 2007, S. 21). Auch die Überwachung und Verifizierung von Angriffen auf jedem einzelnen Host nimmt zusätzlich Zeit in Anspruch (Bace und Mell 2001, S. 17). Außerdem wirkt sich die permanente Protokollierung nachteilig auf die Computerleistung aus (Meier 2007, S. 21).

Bace und Mell (2001, S. 17) erläutern weitere Nachteile von hostbasierten ID-Systemen. Ein gravierendes Problem ist die Verbindung des IDS, vor allem der Sensoren und Teile der Analysekomponente, mit dem zu schützenden Host. Ein Angriff auf diesen Computer zieht auch das IDS in Mitleidenschaft, welches ausfallen kann, so dass jeglicher Schutz erlischt. Denial of Service (DoS) Attacken bleiben von HIDS unerkannt und verursachen somit großen Schaden. Viele Netzwerkattacken und –scans bleiben unerkannt, weil Systeme dieser Art lediglich den Netzwerkverkehr des einen Hosts, auf dem sie installiert sind, beobachten. Die vorteilhafte hohe Detailliertheit der Daten aus Audit-Trails der Betriebssysteme kann aber auch zu einem sehr hohen Informationsaufkommen führen, wofür zusätzlicher lokaler Speicherplatz benötigt wird. (Bace und Mell 2001, S. 17)

Angriffe von heimlichen Nutzern, die sich administrative Rechte erobern und Angriffe auf die Vertraulichkeit werden am besten von hostbasierten Systemen erkannt (Lippmann et al. 2000b, S. 590). Missbrauch von der Konsole innerhalb des Netzwerkes, die auch angegriffen wird, generiert keinen Netzwerkverkehr und kann daher nur von HIDS erkannt werden (Lippmann et al. 2000b, S. 591).

4.2.2.1.2 Applikationsbasierte Systeme

Jedes laufende Programm kann überwacht werden. Die gesammelten Daten sind Applika-tions-Log-Dateien oder andere interne Daten (Bace 2000, S. 38). Sie spiegeln das Verhalten des Programms während der Ausführung wieder (Allen et al. 2000, S. 10). Applikationsbasierte IDS werden auch als Unterart der hostbasierten Systeme gesehen (Bace und Mell 2001, S. 16).

Die direkte Überwachung einer Applikation ist vorteilhaft für die Erkennung von Angreifern der Gruppe „legitime Nutzer“. Spuren von nicht genehmigten Aktivitäten durch grundsätzlich autorisierte Nutzer zeigen sich in der Interaktion zwischen Nutzer, Applikation und Daten, die von applikationsbasierten IDS aufgezeichnet wird. Die Auswertung dieser Daten führt zur Erkennung des Angriffs. Eine Verschlüsselung von Daten beeinflusst die Analyse nicht, da applikationsbasierte Systeme an Transaktionsendpunkten mit dem Programm interagieren, wo der Nutzer mit unverschlüsselten Informationen arbeitet. (Bace und Mell 2001, S. 18)

Nachteilig ist die höhere Anfälligkeit der Systeme für Angriffe, da Applikations-Log-Dateien weniger geschützt sind als bspw. Audit-Trails eines Betriebssystems. Attacken, die die Software verfälschen, wie z.B. Trojaner, werden häufig durch die Überwachung der Aktivitäten auf Nutzerebene nicht erkannt. Applikationsbasierte Intrusion Detection Systeme sollten daher immer mit anderen IDS, netzwerk- oder hostbasiert, kombiniert werden. (Bace und Mell 2001, S. 18)

Lippmann et al. (2000a und 2000b) untersuchten in ihren Studien nicht explizit die applika-tionsbasierten Intrusion Detection Systeme. Sie gelten vielmehr als eine Art von hostbasierten ID-Systemen.

4.2.2.1.3 Netzwerkbasierte Systeme

Soll der gesamte Datenverkehr innerhalb eines Netzwerkes beobachtet werden, kommt ein netzwerkbasiertes IDS (NIDS) zum Einsatz. Dies besteht aus Soft- und Hardware, sog. Sensoren, die, an mehreren wichtigen Punkten angebracht, die durchlaufenden Netzwerkpakete überwachen (Laing 2000, S. 1). Ein Sensor kann bei geeigneter Platzierung so ein gesamtes Netzwerksegment mit mehreren Hosts überwachen (Bace und Mell 2001, S. 15; McHugh 2001, S. 23). Ein Filter trennt den durchlaufenden Netzwerkverkehr danach, ob er unkritisch ist oder ob eine weitere Untersuchung durch die Analysekomponente notwendig erscheint (Laing 2000, S. 1). Das Analysieren kann lokal im Sensor erfolgen und erkannte Angriffe werden an eine zentrale Managementkonsole weitergeleitet (Bace und Mell 2001, S. 15), die weitere Maßnahmen organisiert. Die meisten kommerziellen IDS arbeiten nach dem netzwerkbasierten Ansatz (Bace und Mell 2001, S. 15).

Netzwerkbasierte IDS ermöglichen die Überwachung kritischer Zugangspunkte (Laing 2000, S. 2). Mit wenigen Teilsystemen kann ein großes Netz überwacht werden (Bace und Mell 2001, S. 15). Ihre dezentrale Installation der Sensoren beeinträchtigt die Leistungsfähigkeit der Arbeitscomputer nicht (Meier 2007, S. 21). Gleichzeitig können die Sensoren vergleichs-weise einfach gegen Angriffe geschützt werden. Meistens arbeiten Sensoren dafür im Stealth-Modus, aus dem Englischen für getarnt, so dass ihre Existenz und ihr Standort für Hacker weniger leicht zu erkennen ist (Bace und Mell 2001, S. 15). Ein weiterer Vorteil sind die vergleichsweise einfache Einrichtung und Konfiguration (Bace 2000, S. 38). Die passive Arbeit des IDS ohne Eingriff in das operative Geschehen vereinfacht die Implementierung eines netzwerkbasierten IDS in die vorhandene Netzwerkstruktur (Bace und Mell 2001, S. 15).

Netzwerkbasierte Systeme können neben den selbst gesammelten Daten auch den Output von hostbasierten und applikationsbasierten IDS nutzen (Allen et al. 2000, S. 10).

Laing (2000, S. 2-3) stellt weitere Stärken vor. So ist keine Installation und Pflege von Software auf unzähligen Hosts erforderlich, wodurch die Kosten sinken. Die Unabhängigkeit von einem Host beinhaltet auch die Unabhängigkeit von dem Hostbetriebssystem, so dass bei Ausfall eines Betriebssystems z.B. durch einen Angriff das IDS trotzdem weiter arbeitet. Durch die Aufzeichnung des Live Netzwerkverkehrs wird verhindert, dass Angreifer einmal hinterlassene Spuren, die auch Informationen über sie selbst enthalten, nachträglich manipulieren oder löschen. Die Analyse der Headers, d.h. der Kopfzeilen der Netzwerkpakete auf böswilliges Verhalten führt zur schnellen Entdeckung vieler Denial of Service Attacken. Netzwerkbasierte Systeme agieren außerdem in Echtzeit, wodurch schnelle Reaktionen und Maßnahmen auch zum Abbruch des Eingriffs möglich sind. Eine Positionierung des IDS vor der das System schützenden Firewall ermöglicht sogar das Erkennen von bösen Absichten, was wichtige Informationen für zukünftige Angriffe liefern kann. (Laing 2000, S. 2-3)

[...]


[1] Nähere Informationen zur Protokollierungsebene in Kapitel 4.2.1.1.

[2] Erläuterungen zu Missbrauchs- und Anomalieerkennung siehe Kapitel 4.2.2.2.

[3] Siehe Kapitel 4.2.2.2.

Details

Seiten
92
Erscheinungsform
Originalausgabe
Jahr
2008
ISBN (eBook)
9783836634397
Dateigröße
1.4 MB
Sprache
Deutsch
Katalognummer
v227143
Institution / Hochschule
Universität Augsburg – Wirtschaftswissenschaftliche Fakultät, Betriebswirtschaft
Note
1,7
Schlagworte
intrusion detection it-sicherheit angriffserkennung it-angriffe

Autor

Teilen

Zurück

Titel: Intrusion Detection Systeme