In der heutigen digitalen Welt dienen Computer als Ablage für alle relevanten und sensiblen Firmeninformationen. Der Geschäftserfolg und der Erhalt des Wettbewerbsvorteils eines Unternehmens hängen somit maßgeblich von dem Schutz dieser Informationen vor unberechtigten Zugriffen ab. Aktuelle Meldungen (Martin-Jung 2008; Riedl 2008) zeigen, dass die Gefahr von Angriffen auf Computer und Netzwerke mit wachsendem Wettbewerbsdruck immer größer wird. Eine Schutzmöglichkeit sind Intrusion Detection Systeme.
Bisherige Arbeiten zu Intrusion Detection Systemen beschreiben hauptsächlich die Funktionsweisen der verschiedenen Systeme mit den jeweiligen Vor- und Nachteilen. Wenige Artikel beschäftigen sich mit der Leistungsfähigkeit von IDS allgemein und der Erkennungswahrscheinlichkeit im Speziellen. Die Arbeit von Lippmann et al. (2000b) liefert die aktuellsten Aussagen dazu. Studien zum Verhalten der Erkennungswahrscheinlichkeit bei wiederholter Ausführung derselben Attacke existieren nicht. Diese Lücke im theoretischen Konzept zu Intrusion Detection wird durch die vorliegende Arbeit geschlossen. Ergebnis ist eine allgemeine
Aussage über die Wahrscheinlichkeitsverteilung der Angriffserkennung mit zunehmender Angriffsintensität als Grundlage für die Modellierung des Angreiferverhaltens.
Im zweiten Kapitel der vorliegenden Arbeit erfolgt zunächst die Definition der grundlegenden Begriffe zur Thematik Intrusion Detection, um ein einheitliches Begriffsverständnis zu schaffen. Anschließend wird im dritten Kapitel die Forschungsfrage, d.h. die Motivation zu dieser Arbeit, erörtert. Das vierte Kapitel beinhaltet eine Zusammenfassung der bisherigen Literatur zu Intrusion Detection Systemen und untersucht diese im Hinblick auf die Forschungsfrage. Zunächst werden allgemein Angriffe auf IT-Systeme charakterisiert. Es folgt eine detaillierte Darstellung der Arten und Methoden von ID-Systemen mit Beschreibungen ausgewählter Funktionsweisen. Daraus abgeleitet werden im fünften Kapitel Szenarien zur Erkennungswahrscheinlichkeit für jede spezielle Methode entwickelt. Die gewonnenen Erkenntnisse fließen dann zu einer allgemeinen Aussage über die Wahrscheinlichkeitsverteilung der Angriffserkennung mit zunehmender Angriffsintensität zusammen. Das sechste Kapitel widmet sich der kritischen Würdigung und diskutiert den Einfluss der getroffenen Annahmen auf das Ergebnis.Den Abschluss bildet eine Zusammenfassung der gewonnenen Erkenntnisse mit einem Ausblick auf zukünftige Arbeiten.
Inhaltsverzeichnis
Abkürzungsverzeichnis
Abbildungsverzeichnis
Tabellenverzeichnis
1 Einleitung
2 Grundbegriffe der IT-Sicherheit
2.1 Die IT-Sicherheit und ihre Ziele
2.2 Der Angriff
2.3 Ein nicht autorisierter Nutzer
2.4 Intrusion Detection und Intrusion Detection Systeme
2.5 Computer und Netzwerke
3 Forschungsfrage
4 Ergebnisse der Literatur
4.1 Angriffe
4.2 Intrusion Detection Systeme
4.2.1 Komponenten von Intrusion Detection Systemen
4.2.1.1 Ereigniskomponente
4.2.1.2 Analyse- und Datenbankkomponente
4.2.1.3 Reaktionskomponente
4.2.2 Arten von Intrusion Detection Systemen
4.2.2.1 Datenquellen
4.2.2.1.1 Hostbasierte Systeme
4.2.2.1.2 Applikationsbasierte Systeme
4.2.2.1.3 Netzwerkbasierte Systeme
4.2.2.2 Analysearten
4.2.2.2.1 Missbrauchserkennung
4.2.2.2.2 Anomalieerkennung
4.2.2.3 Analysezeitpunkt
4.2.2.3.1 Realtime
4.2.2.3.2 Forensic Analysis
4.2.3 Methoden der Analyse
4.2.3.1 Methoden im Rahmen der Missbrauchserkennung
4.2.3.1.1 Signaturanalyse mit Boyer-Moore-Algorithmus
4.2.3.1.2 Regelbasiertes Expertensystem
4.2.3.1.3 State Transition Analysis
4.2.3.2 Methoden im Rahmen der Anomalieerkennung
4.2.3.2.1 Statistische Anomalieerkennung
4.2.3.2.2 Regelbasierte Anomalieerkennung
4.2.3.2.3 Neuronale Netze
4.3 Beantwortung der Forschungsfrage
5 Methoden und ihre Erkennungswahrscheinlichkeit
5.1 Szenarien der Angriffserkennung
5.1.1 Die Anwendung der Missbrauchserkennung
5.1.1.1 Vorüberlegungen zur Missbrauchserkennung
5.1.1.2 Szenario zum Boyer-Moore-Algorithmus
5.1.1.3 Szenario zum regelbasierten Expertensystem
5.1.1.4 Szenario zur State Transition Analysis
5.1.1.5 Zusammenfassung der Erkenntnisse bei der Missbrauchserkennung
5.1.2 Die Anwendung der Anomalieerkennung
5.1.2.1 Vorüberlegungen zur Anomalieerkennung
5.1.2.2 Szenario zur statistischen Anomalieerkennung
5.1.2.3 Szenario zur regelbasierten Anomalieerkennung
5.1.2.4 Szenario zu Neuronalen Netzen
5.1.2.5 Zusammenfassung der Erkenntnisse bei der Anomalieerkennung
5.2 Allgemeiner Verlauf der Erkennungswahrscheinlichkeit
6 Kritische Würdigung
7 Zusammenfassung und Ausblick
Anhang A: Weitere Unterlagen zu den Analysemethoden
A.1 Beispiel für den Boyer-Moore-Algorithmus in Programmcode C
A.2 Beispiel für die statistische Anomalieerkennung
A.3 Beispiel für ein einfaches Neuronales Netz
Anhang B: Weitere Unterlagen zu den Szenarien
B.1 Glattgezogene Testreihe für die statistische Anomalieerkennung
Literatur
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
Abbuldungsverzeuchnus
Bild 2-1 Unterschiedliche Nutzergruppen (Anderson 1980, S. 8)
Bild 4-1 Angriffsraffinesse vs. technisches Angreiferwissen (Allen et al. 2000, S. 4)
B u ld 4-2 Boyer-Moore-Algorithmus (Boyer und Moore 1977, S. 764)
Bild 4-3 Ausgangsanforderungen und kompromittierter Status von Penetration 1 (Ilgun et al 1995, S. 186)
B u ld 4-4 Acht Aktivitäten des vierten Befehls (Ilgun et al. 1995, S. 186)
B u ld 4-5 Zwischenmodell des State Transition Diagramms von Penetration 1 (Ilgun et al 1995, S. 186)
Bild 4-6 Endversion des State Transition Diagramms von Penetration 1 (Ilgun et al. 1995, S. 187)
Bild 4-7 Beziehung von S zu TPROB (Javitz und Valdes 1991, S. 319)
Bild 5-1 Verlauf der Anzahl an potentiellen Angreifern
B u ld 5-2 Normalverteilung der Angriffszahl i (pro Tag)
Bild 5-3 Wahrscheinlickeitsverteilung für Vorüberlegungen der Missbrauchserkennung
B u ld 5-4 Wahrscheinlichkeitsverteilung für Boyer-Moore-Algorithmus (Version 1)
B u ld 5-5 Wahrscheinlichkeitsverteilung für Boyer-Moore-Algorithmus (Version 2)
Bild 5-6 Wahrscheinlichkeitsverteilung für regelbasiertes Expertensystem (Version 1)
Bild 5-7 Wahrscheinlichkeitsverteilung für regelbasiertes Expertensystem (Version 2)
Bild 5-8 Wahrscheinlichkeitsverteilung für State Transition Analysis (Version 1)
Bild 5-9 Wahrscheinlichkeitsverteilung für State Transition Analysis (Version 2)
Bild 5-10 Wahrscheinlichkeitsverteilung für die Missbrauchserkennung
Bild 5-11 Vorüberlegungen der Anomalieerkennung (Version 1)
Bild 5-12 Vorüberlegungen der Anomalieerkennung (Version 2)
Bild 5-13 Wahrscheinlichkeitsverteilung für Vorüberlegungen der Anomalieerkennung
Bild 5-14 Erkennungswahrscheinlichkeit bei aufeinander folgenden Angriffen
Bild 5-15 Erkennungswahrscheinlichkeit bei gleichzeitigen Angriffen
Bild 5-16 Wahrscheinlichkeitsverteilung für die statistische Anomalieerkennung
Bild 5-17 Wahrscheinlichkeitsverteilung für die regelbasierte Anomalieerkennung
Bild 5-18 Wahrscheinlichkeitsverteilung für die regelbasierte Anomalieerkennung
Bild 5-19 Wahrscheinlichkeitsverteilung für die Anomalieerkennung
Bild 5-20 Beispiel für die Wahrscheinlichkeitsverteilung der Missbrauchs- und Anomalieerkennung sowie den Gesamtverlauf
Bild 5-21 Die Wahrscheinlichkeitsverteilung der Erkennung von Angriffen durch Intrusion Detection Systeme bei zunehmender Angriffsintensität
Tabellenverzeichnis
Tabelle 4-1 Fakten für Erkennen des SYN Flood Angriffs (Lindqvist und Porras 1999, S. 157)
Tabelle 4-2 Regelsammlung für die Erkennung eines SYN Flood Angriffs (Lindqvist und Porras 1999, S. 157)
Tabelle 4-3 Penetrationsszenario 1 (Ilgun et al. 1995, S. 185)
Tabelle 5-1 Signaturmöglichkeiten mit zunehmender Angriffsintensität
1 Einleitung
In der heutigen digitalen Welt dienen Computer als Ablage für alle relevanten und sensiblen Firmeninformationen. Der Geschäftserfolg und der Erhalt des Wettbewerbsvorteils eines Un-ternehmens hängen somit maßgeblich von dem Schutz dieser Informationen vor unberechtig-ten Zugriffen ab. Aktuelle Meldungen (Martin-Jung 2008; Riedl 2008) zeigen, dass die Ge-fahr von Angriffen auf Computer und Netzwerke mit wachsendem Wettbewerbsdruck immer größer wird. Eine optimale Strategie für IT-Investitionen bildet die Grundlage für eine ange-messene Reaktion auf diese Gefährdung. Diesem erfolgskritischen Thema widmet sich ein Forschungsprojekt am Wirtschaftsinformatik-Lehrstuhl der Universität Augsburg. Darin soll das Verhalten eines finanziell motivierten und rational handelnden Angreifers modelliert wer-den, um mögliche Aktivitäten vorauszusagen und von vornherein angemessene Reaktionen und ggf. präventive Maßnahmen optimal zu bestimmen. Angreifer dieser Art verfolgen wirt-schaftliche Ziele und orientieren ihr Verhalten an der Gefahr, entdeckt und somit bestraft zu werden.
Bisherige Arbeiten zu Intrusion Detection Systemen beschreiben hauptsächlich die Funkti-onsweisen der verschiedenen Systeme mit den jeweiligen Vor- und Nachteilen. Wenige Arti-kel beschäftigen sich mit der Leistungsfähigkeit von IDS allgemein und der Erkennungswahr-scheinlichkeit im Speziellen. Die Arbeit von Lippmann et al. (2000b) liefert die aktuellsten Aussagen dazu. Studien zum Verhalten der Erkennungswahrscheinlichkeit bei wiederholter Ausführung derselben Attacke existieren nicht. Diese Lücke im theoretischen Konzept zu Intrusion Detection wird durch die vorliegende Arbeit geschlossen. Ergebnis ist eine allge-meine Aussage über die Wahrscheinlichkeitsverteilung der Angriffserkennung mit zuneh-mender Angriffsintensität als Grundlage für die Modellierung des Angreiferverhaltens.
Im zweiten Kapitel der vorliegenden Arbeit erfolgt zunächst die Definition der grundlegenden Begriffe zur Thematik Intrusion Detection, um ein einheitliches Begriffsverständnis zu schaf-fen. Anschließend wird im dritten Kapitel die Forschungsfrage, d.h. die Motivation zu dieser Arbeit, erörtert. Das vierte Kapitel beinhaltet eine Zusammenfassung der bisherigen Literatur zu Intrusion Detection Systemen und untersucht diese im Hinblick auf die Forschungsfrage. Zunächst werden allgemein Angriffe auf IT-Systeme charakterisiert. Es folgt eine detaillierte Darstellung der Arten und Methoden von ID-Systemen mit Beschreibungen ausgewählter Funktionsweisen. Daraus abgeleitet werden im fünften Kapitel Szenarien zur Erkennungs-wahrscheinlichkeit für jede spezielle Methode entwickelt. Die gewonnenen Erkenntnisse flie-ßen dann zu einer allgemeinen Aussage über die Wahrscheinlichkeitsverteilung der Angriffs-erkennung mit zunehmender Angriffsintensität zusammen. Das sechste Kapitel widmet sich der kritischen Würdigung und diskutiert den Einfluss der getroffenen Annahmen auf das Er-gebnis. Den Abschluss bildet eine Zusammenfassung der gewonnenen Erkenntnisse mit ei-nem Ausblick auf zukünftige Arbeiten.
2 Grundbegriffe der IT-Sicherheit
Die Thematik der Angriffe und Angriffserkennung ist bisher wenig standardisiert. Eine ein-heitliche Begriffsdefinition hat sich nicht etabliert. In diesem Kapitel erfolgt daher eine Definition grundlegender Begriffe der IT-Sicherheit, die in dieser Arbeit verwendet werden. Zu-nächst wird geklärt, was IT-Sicherheit eigentlich bedeutet. Anschließend erfolgt die Definition der Begriffe Angriff und nicht autorisierter Nutzer. Danach werden kurz die zentralen Be-griffe Intrusion Detection und Intrusion Detection Systeme erläutert. Abschließend folgt die Klärung von Fachbegriffen zu Computersystemen und Netzwerken.
2.1 Die IT-Sicherheit und ihre Ziele
Die IT-Sicherheit dient dem Schutz von Daten (Axelsson und Sands 2006, S. 2). Axelsson und Sands (2006, S. 2) und Meier (2007, S. 6) stellen vier Schutzziele für Daten fest und cha-rakterisieren diese.
1. Die Integrität stellt sicher, dass die Daten ausschließlich von autorisierten Nutzern verän-dert oder gelöscht werden. Unberechtigte Modifikationen müssen verhindert werden, um die Exaktheit der Daten zu garantieren. Nur unter dieser Voraussetzung sind die gespeicherten und verarbeiteten Informationen vertrauenswürdig.
2. Der Schutz der Verfügbarkeit soll garantieren, dass die Ressourcen nicht unberechtigt oder missbräuchlich besetzt werden. Eine Einschränkung in diesem Bereich kann dazu führen, dass andere Nutzer auf Informationen oder Dienste nicht zu greifen können. Für reibungslose Ab-läufe müssen alle relevanten Informationen zum gewünschten Zeitpunkt in der gewünschten Form verfügbar sein.
3. Die Vertraulichkeit bezeichnet den Schutz vor der Offenlegung geheimer, geschützter Da-ten durch nicht autorisierte Zugriffe von fremden Personen. Insbesondere Informationen, de-ren Wert sich durch die Geheimhaltung bestimmt, müssen unbedingt geschützt werden.
4. Die Zurechenbarkeit beschreibt die verursachergerechte Zuordnung von Systemaktivitäten. Eine Verletzung ermöglicht einem Angreifer die Verschleierung seiner Handlungen.
2.2 Der Angriff
Ein Angriff oder eine Attacke (engl. Intrusion) ist die bösartige, gezielte Verletzung der Si-cherheitspolitik, d.h. eines der o.g. vier Schutzziele, durch einen nicht autorisierten Nutzer. Das Wort bösartig unterstellt dem Angreifer, auch Hacker oder Intruder genannt (Allen et al. 2000, S. 8), zielgerichtetes Handeln, welches ökonomisch, durch Ruhm oder anderwei-tig motiviert ist. Systeme zur Erkennung von Sicherheitsverletzungen können diesen Hinter-grund generell nicht überprüfen und lösen für jedes verdächtige Verhalten Alarm aus. (Axels-son und Sands 2006, S. 17-18)
Ein Angriff besteht aus mehreren Aktivitäten. Das sind Handlungen, die der Angreifer unter-nehmen muss, um die Attacke erfolgreich zu beenden (Ilgun et al. 1995, S. 184), z.B. ein vor- bereitender Port Scan, um Informationen über die Schnittstellen des Computers zu erhalten. Jede Aktivität wird von Operationen, d.h. genauen Befehlen, die der Angreifer für z.B. einen Port Scan eingeben muss, ausgelöst. Dabei kann ein Befehl mehrere Handlungen bewirken. Ein einfaches Alltagsbeispiel ist die Anweisung „Öffne das Fenster“, die die Handlungen Aufstehen, zum Fenster laufen und Fenster öffnen bewirkt. Jede Aktivität und jede Operation kann mehrfach ausgeführt werden. Die Anzahl der Durchführungen eines Angriffs oder einer Aktivität wird als Intensität bezeichnet. Der Erfolg einer Attacke hängt nicht von der Reihen-folge der Aktivitäten ab. Diese können vertauscht ablaufen oder durch unkritische Aktivitäten unterbrochen werden (Ilgun et al. 1995, S. 184). Bei Ausführung eines Angriffs wird ein be-stimmtes Verhaltensmuster erzeugt. Das ist gekennzeichnet durch die typischen Aktivitäten, die selbst oder deren zusammenhängendes Auftreten sicherheitskritisch sind. Ergebnis ist eine charakteristische Zeichenkette, die sog. Signatur. (Meier und Schmerl 2005, S. 2)
Angriffe nutzen generell bekannte Systemschwächen, engl. Vulnerability, in Hardware oder Software aus, die die Möglichkeit für eine Penetration geben (Anderson 1980, S. 4; McHugh 2001, S. 15). Exploit beschreibt das Ausnutzen der identifizierten Systemschwäche mit Hilfe einer speziellen Methode oder eines Tools, dem sog. Exploit Script (Allen et al. 2000, S. 8). Der Begriff Penetration bezeichnet einen erfolgreichen Angriff (Anderson 1980, S. 5).
2.3 Ein nicht autorisierter Nutzer
Allgemein umfasst der Begriff des nicht autorisierten Nutzers einerseits Außenstehende, sog. Outsider, die sich unberechtigten Systemzugang verschaffen. Andererseits gehören auch ge-nehmigte Nutzer, sog. Insider, die ihre Rechte überschreiten dazu (Axelsson und Sands 2006, S. 17-18). Anderson (1980 S. 6ff.) differenziert die verschiedenen Arten von Hackern schär-fer. Grundsätzlich unterscheidet er interne und externe Angreifer nach folgendem Schaubild.
Abbildung in dieser Leseprobe nicht enthalten
Bild 2-1 Unterschiedliche Nutzergruppen (Anderson 1980, S. 8)
Nach obiger Abbildung sind externe Eindringlinge fremde Personen, die der Organisation nicht angehören. Eines der größten Probleme für diese Gruppe besteht darin, physischen Zu-gang zu den Terminals zu erlangen. Bei vernetzen Computerressourcen, wie heutzutage üb-lich, muss in die Kommunikationskanäle des Netzwerks eingedrungen werden. Zudem gelten auch Mitarbeiter, die Zugang zu den physischen Räumen haben, aber kein berechtigter Com-puternutzer sind, als externe Angreifer. Für sie ist es leichter, über die für sie zugängliche Hardware in das Zielsystem zu gelangen. Es besteht jedoch die Möglichkeit, dass diese Per-sonen durch Zugangskontrollen o.ä. entdeckt werden. Anderson definiert einen externen Hacker als internen sobald der äußere Ring der externen Zugangskontrollen, z.B. Firewall oder Eingangskontrollen, überwunden ist. Interner Missbrauch geschieht häufiger und kann von drei verschiedenen Nutzergruppen ausgehen. Die Maskierten (engl. Masquerades) bezeichnen erfolgreiche externe Eindringlinge sowie autorisierte Nutzer, die unter einem anderen geneh-migten Account arbeiten. Ihre Handlungen sind zusätzliche Aktivitäten zu denen des norma-len Nutzers und fallen durch anormale Systemwerte auf. Die zweite Nutzergruppe sind legi-time Nutzer. Diese handeln missbräuchlich oder nachlässig durch die ungerechtfertigte Nut-zung ihres autorisierten Zugangs zu System und Daten. Ein Beispiel dafür ist der private Ge-brauch der für geschäftliche Zwecke gewährten Privilegien. In geringem Umfang wird dieser kaum erkannt. Das Überschreiten gewährter Nutzerrechte bei der Nutzung nicht genehmigter Bereiche kann dagegen erkannt werden. Die dritte Gruppe sind heimliche Nutzer (engl. Clandestine User). Angreifer dieser Art haben oder beschaffen sich administrative Kontrolle und arbeiten unter dem Level, auf dem das System überwacht wird[1]. Eine Entdeckung ist kaum möglich, da keine Aufzeichnungen über die Aktivitäten des Hackers existieren. (Anderson 1980, S. 6-16)
2.4 Intrusion Detection und Intrusion Detection Systeme
Intrusion Detection wird allgemein als Prozess der Überwachung und Analyse von Ereignis-sen in einem Computersystem oder Netzwerk auf der Suche nach Anzeichen für Verletzungen der Sicherheitspolitik bezeichnet (Axelsson und Sands 2006, S. 17; Bace 2000, S. 3; Scarfone und Mell 2007, Kap. 2, S. 1). Systeme, die diesen Prozess automatisch oder halbautomatisch durchführen heißen Intrusion Detection Systeme (IDS). Synonym wird auch die Bezeichnung ID-Systeme verwendet. Es ist bei der Analyse unerheblich, ob der Angriff Erfolg hatte oder nicht (Allen et al. 2000, S. 7). Ein IDS ist darauf ausgerichtet, jede Sicherheitsverletzung an-zuzeigen. Die detaillierte Beschreibung von Intrusion Detection Systemen folgt in Kapitel 4.2.
2.5 Computer und Netzwerke
Für die Überwachung eines Systems werden alle Vorgänge auf einem Host oder in einem Netzwerk aufgezeichnet, vergleichbar mit der Videoüberwachung in einer Tankstelle. Den Prozess bezeichnet die Literatur allgemein als Audit (Meier 2007, S. 10; Sobirey 1999, S. 13), angelehnt an den Begriff aus dem Rechnungswesen. Der Definition von Anderson (1980, S. 1), ATIS (2007) und Meier (2007, S. 11) folgend sind die Informationen über die Systemaktivitäten in Auditberichten, sog. Audit-Records enthalten, die zusammengefasst, zeitlich geordnet einen Audit-Trail bilden. Audit-Records werden aus den Daten der SMF Records gewonnen (Anderson 1980, S. 1), die prozess- und systembezogene Informationen sammeln und speichern (IBM 2007, Kap. 1, S. 1).
Host oder Host Computer bezeichnet einen einzelnen Rechner in einem Netzwerk. Ein solcher Host ist dadurch gekennzeichnet, dass er den Nutzern verschiedene Programme bereitstellt. Letztere werden in der IT-Sprache auch als Applikation bezeichnet (ATIS 2007). Mehrere zusammengeschlossene Hosts, also Personalcomputer und Server, bilden ein Netzwerk, z.B. ein Firmenintranet. Innerhalb dieses Netzwerkes, das z.B. durch Firewalls vor der Öffentlich-keit geschützt ist, kommunizieren die technischen Einheiten miteinander.
Die Kommunikation eines Netzwerkes erfolgt meistens über das Transmission Control Proto-col/Internet Protocol (TCP/IP). Dieses Netzwerkprotokoll besteht aus vier Schichten. Die zu transferierenden Daten eines Nutzers werden für den Transport von der höchsten zur niedrigs-ten Schicht transformiert. Dabei fügt jede Schicht mehr Informationen hinzu. Die niedrigste, physische Schicht versendet dann die kumulierten Daten an den Empfänger. Bei diesem er-folgt die Transformation in entgegengesetzte Richtung bis zur höchsten Schicht. (Scarfone und Mell 2007, Kap. 4, S. 1)
3 Forschungsfrage
Die Modellierung des Angreiferverhaltens als Ziel der in der Einleitung erwähnten For-schungsarbeit berücksichtigt mehrere Faktoren, z.B. die Höhe der Belohnung bei Erfolg und der Strafe bei Entdeckung des Angriffs. Ausschlaggebend ist auch, ob der Angreifer von der Existenz eines Intrusion Detection Systems in dem Zielsystem weiß. Mit Hilfe von zusätzli-chen Informationen über das eingesetzte IDS versucht er die Wahrscheinlichkeit, dass er ent-deckt wird, abzuleiten. Nach dieser Entdeckungswahrscheinlichkeit, also der Gefahr erkannt und gegebenenfalls bestraft zu werden, wird er in Verbindung mit den anderen Faktoren sein Verhalten und seine Angriffsstrategie ausrichten.
Die Erkennungswahrscheinlichkeit von Angriffen ist ein Merkmal für die Güte eines ID-Systems. Sie soll möglichst hoch sein, um alle Eingriffe sicher zu erkennen. Dabei muss für eine effektive Aufdeckung die Fehlalarmquote gleichzeitig niedrig sein. Dies gilt sowohl für ein fälschlicherweise alarmiertes Normalverhalten als auch für unerkannte Angriffe. In bishe-rigen Studien wird die Erkennungswahrscheinlichkeit meist als fixe, gegebene Größe ange-nommen (z.B. Cavusoglu et al. 2005, S. 33 u. S. 35ff.), die hauptsächlich durch die verwende-te Technik bestimmt wird. Laut Scarfone und Mell (2007, Kap. 3, S. 3) hängt der Wert einer-seits von der angewandten Analyseart, Missbrauchs- oder Anomalieerkennung und der spe-ziellen Analysemethode ab. Andererseits spielt die Konfiguration des IDS eine wichtige Rolle. Restriktivere Einstellungen, die nur auf bestimmte Muster reagieren, z.B. genau die Zei-chenkette „aabac“ oder „mehr als drei fehlgeschlagene Log-In-Versuche innerhalb von 30 Sekunden sind verdächtig“, erhöhen die Exaktheit der Angriffsentdeckung. Die definierten Attacken werden so mit einer geringeren Fehlalarmquote richtig erkannt. Gleichzeitig verrin-gert sich durch die höhere Spezifität die Erkennungswahrscheinlichkeit insgesamt, da nur Angriffe erkannt werden, die genau den restriktiveren Vorgaben entsprechen. Der Anteil der nicht erkannten Angriffe nimmt dann zu.
Die vorliegende Arbeit ist durch die Vermutung motiviert, dass die Erkennungswahrschein-lichkeit neben den oben genannten Kennzahlen zusätzlich von der Intensität des Angriffs be-einflusst wird. Zahlreiche Angriffe oder Aktionen von Attacken funktionieren nach dem Tri-al-and-Error-Prinzip, z.B. eine Anfrage, mit der jeder Server eines Netzes nach und nach auf eine bestimmte Schwachstelle getestet oder eine bestimmte Information abgefragt wird (Scar-fone und Mell 2007, Kap. 2, S. 1). Andere Angriffsarten, z.B. Denial of Service Attacken, führen mehrmals dieselbe Aktion aus, um eine Systemüberlastung herbeizuführen (Amoroso 1999, S. 110). Mit der zunehmenden Anzahl an Ausführungen der gleichen Attacke wird eine Entwicklung der Wahrscheinlichkeit, den Eingriff zu entdecken, unterstellt. Es erscheint nicht realistisch, dass ein und derselbe Angriff mit immer der gleichen, konstanten Erken-nungswahrscheinlichkeit von z.B. 70% (Lippmann et al. 2000, S. 590) aufgedeckt wird.
Die ID-Systeme der Missbrauchserkennung, dem Basisansatz der Intrusion Detection, ver-gleichen die Aufzeichnungen des Systemverhaltens im Alltag mit vorgegebenen, als gefähr-lich definierten Mustern. Beim Auffinden eines solchen Musters wird ein Alarm ausgelöst, der somit konkret das Vorliegen einer sicherheitskritischen Aktivität, d.h. eines Angriffs, kennzeichnet. Für das exakte Entdecken von Angriffen müssen deren genauen Charakteristika bekannt sein. Es ist zu beachten, dass die gleiche Attacke, d.h. mit demselben Ziel und glei-chen Aktionen, bei jeder Ausführung zu unterschiedlichen Audit-Records führen kann. Das ist möglich, da die Aktivitäten eines Angriffs bei der Ausführung vertauscht oder unkritische Aktivitäten eingeschoben werden können, ohne den Angriffserfolg zu gefährden (Il-gun et al. 1995, S. 184). Die erzeugte Signatur bei der ersten Durchführung eines Angriffs ist dem IDS möglicherweise nicht bekannt, so dass kein Alarm erzeugt wird. Jede weitere Aus-führung derselben Attacke erzeugt eine neue, etwas variierte Angriffsstruktur, bei der die Chance besteht, dass sie das ID-System bereits kennt und einen Alarm auslöst. Die zuneh-mende Angriffsintensität scheint zu einer wachsenden Erkennungswahrscheinlichkeit zu füh-ren. Ein weiterer Aspekt in der Missbrauchserkennung ist die Zeit. Es gilt dabei zu beachten, dass die Intensität eines Angriffs sich nicht nur auf eine Person bezieht. Auch die Durchfüh-rung derselben Attacke durch unterschiedliche Angreifer erhöht die Gesamtanzahl an gleichen Angriffen. Es verstreicht somit einerseits Zeit zwischen den Angriffsversuchen verschiedener Personen und andererseits nimmt die mehrmalige Durchführung eines Angriffs aufgrund von Vorbereitungen und der Ausführung selbst einige Zeit in Anspruch. Während dieser Zeit be-steht die Möglichkeit, dass der Angriff irgendwo erkannt und analysiert wird. Die entdeckten Angriffsmerkmale können dann über ein Update in das IDS des Zielsystems aufgenommen werden, so dass der nächste Angriffsversuch erkannt wird. Die zunehmende Angriffsintensität scheint daher auch über den Zeitaspekt zu einer wachsenden Erkennungswahrscheinlichkeit zu führen.
Intrusion Detection Systeme der zweiten Kategorie, der Anomalieerkennung, messen die Ab-weichung des aufgezeichneten täglichen Systemverhaltens von den als normal eingestuften Aktivitäten. Je nach Ausmaß der Verschiedenartigkeit wird ein Alarm ausgelöst, der anorma-les Verhalten, sog. Anomalien anzeigt. Aus logischen Überlegungen scheint es realistisch, dass ein Angriff oder eine sicherheitskritische Aktivität noch nicht solche Abweichungen er-zeugen, die als anormales Verhalten auffallen. Mit den folgenden Durchführungen derselben Handlungen weicht das Systemverhalten immer weiter vom Normalen ab, so dass beispiels-weise der zwanzigste Angriff einen Alarm auslöst. Mit zunehmender Intensität wird daher auch hier eine wachsende Erkennungswahrscheinlichkeit vermutet.
Die vorliegende Arbeit überprüft die eben vorgestellten, logischen Überlegungen anhand vor-liegender Ergebnisse aus der Fachliteratur. Desweiteren wird in verschiedenen Szenarien der mögliche Verlauf der Erkennungswahrscheinlichkeit mit zunehmender Intensität des Angriffs für Missbrauchs- und Anomalieerkennung hergeleitet. Ziel ist es, aus den Einzelergebnissen eine allgemeine Wahrscheinlichkeitsverteilung für das Erkennen von Angriffen zu ermitteln. Sie bildet die Grundlage für die Modellierung des Verhaltens eines finanziell motivierten und rational handelnden Angreifers, mit Hilfe dessen die optimale Investitionsstrategie für die IT-Sicherheit eines Unternehmens abgeleitet werden soll.
4 Ergebnisse der Literatur
Die Thematik Intrusion Detection ist knapp 30 Jahre alt und hat ihren Ursprung in der Arbeit von Anderson (1980), der die o.g. verschiedenen Typen von Angreifern definierte. Für die Gruppe von Angreifern, die unter gestohlener Identität arbeiten, nahm er an, dass sie aufgrund ihres abweichenden Verhaltens von dem des eigentlichen Nutzers erkannt werden können. Seitdem befasst sich die Forschung mit möglichen Angriffen und ihrer Abwehr. Nach 1990 verstärkte sich die Vernetzung der Computer und das Internet verbreitete sich, so dass neue Möglichkeiten für Angriffe auf Computer und Netzwerke entstanden (Allen et al. 2000, S. 5). Im Zuge dessen intensivierten sich die Bemühungen zur Erforschung von Abwehrmaßnahmen und auch die Anzahl der Veröffentlichungen nahm zu. Angepasst an die neuen Situationen wurden neue Systeme entwickelt, z.B. IDES (Lunt et al. 1990), EMERALD (Porras und Neumann 1997) und SNORT (Roesch 1999).
Im ersten Abschnitt dieses Kapitels erfolgt der Einstieg in die Thematik der Ein- und Angriffe mit Beschreibungen der wichtigsten Angriffsarten. Es soll erörtert werden, welche Gefahren grundsätzlich drohen und wie sich die Attacken auswirken. Anschließend werden Intrusion Detection Systeme als Abwehrmaßnahme für Angriffe vorgestellt. Auf die Beschreibung des allgemeinen Aufbaus folgt die Vorstellung der verschiedenen IDS-Arten und -methoden. Bis-herige Untersuchungen zur Effektivität und der Erkennungswahrscheinlichkeit dieser Systeme fließen hier mit ein. Im abschließenden Teil des vierten Kapitels wird erörtert, inwieweit die bisherigen Erkenntnisse der Fachliteratur die in Kapitel 3 aufgeworfene Forschungsfrage be-reits beantworten.
4.1 Angriffe
Angriffe auf Computersysteme gingen in den 1980ern immer von Computerexperten aus, die mit ihrem fundierten Wissen eigene Methoden zum Einbruch in ein IT-System entwickelten.
Abbildung in dieser Leseprobe nicht enthalten
Buld 4-1 Angriffsraffinesse vs. technisches Angreiferwissen (Allen et al. 2000, S. 4)
Die obere Grafik veranschaulicht die Weiterentwicklung der Angriffe bis heute. Im Laufe der Jahre entstanden Tools, die Standardangriffe automatisch ausführen können. Das führte zu einer starken Verringerung des benötigten Wissens für einen Angriff. Die Gruppe der Perso-nen, die in der Lage sind, einen Angriff auszuführen, wuchs immer weiter an. Die zunehmen-de Angriffsgüte begründet sich auf die ebenfalls zunehmende Versiertheit erfahrener Hacker mit fundiertem technischem Wissen. Sie entwickelten immer bessere Methoden, die immer schwerer entdeckt werden konnten und reagierten immer schneller auf erkannte System-schwächen. (Allen et al. 2000, S. 5)
Es gibt viele unterschiedliche Angriffsarten, die unterschiedliche Ziele verfolgen. Eine grund-legende Art sind Scanning Attacken, beschrieben von Bace und Mell (2001, S. 41). Sie dienen dem Angreifer in der Vorbereitung dazu, Auskünfte über das Zielsystem zu erhalten. Er er-langt so Informationen über Systemzustände, z.B. über aktive Ports und über Systemschwä-chen, z.B. eine Aufzählung von Hosts, die für eine bestimmte Attacke anfällig sind. Beispiel-haft für das Erlangen von Wissen über aktive Ports ist der TCP Port Scan, erläutert von Hel-den und Karsch (1998, S. 16). Dabei sendet der Angreifer SYN an den Zielport und erhält die SYN/ACK-Nachricht als Antwort des Systems. Mit dem anschließend durch den Angreifer versendeten ACK baut sich eine Verbindung auf. Das System teilt durch diese Interaktion mit, dass der angesprochene Port aktiv und ein Zugang zum System möglich ist.
Eine weitere Form sind Denial of Service (DoS) Attacken. Diese zielen darauf ab, durch die unberechtigte Belegung von Ressourcen bestimmte Dienste zu überlasten und die Verfügbar-keit zu beeinträchtigen. Zwei Wege führen zu einem Systemausfall. Einerseits die Ausnut-zung von Fehlern. Ziel ist es, die Systemressourcen zu verbrauchen oder einen Bearbeitungs-fehler zu generieren. Die Ping of Death Attacke als Beispiel für die Erzeugung eines Bearbei-tungsfehlers versendet Echo Request Pakete, sog. Ping Pakete (Helden und Karsch 1998, S. 24). Diese dienen eigentlich zur Überprüfung, ob ein Host mit einem entfernten Computer über ein Netzwerk kommunizieren kann (ATIS 2007). Versendet der Angreifer Ping Pakete, die die definierte kritische Größe überschreiten, kann das System diese nicht verarbeiten und bricht zusammen. Andererseits bewirkt auch der zweite Weg, die Überflutung eines Systems, dessen Absturz. Dabei sendet der Angreifer mehr Informationen als das System verarbeiten kann. Für die Beeinträchtigung eines bedeutenden E-Commerce-Anbieters bedarf es dabei der gleichzeitigen Penetration von ca. 20.000 Hosts. Ein Beispiel für diese Art ist die SYN Flood Attacke beschrieben von Helden und Karsch (1998, S. 29). Wie beim TCP Port Scan sendet der Angreifer SYN an das Zielsystem. Dieses antwortet mit SYN/ACK und reserviert gleich-zeitig Ressourcen für die geplante Verbindung. Die Antwort der ACK-Nachricht durch den Hacker bleibt jedoch aus und die Verbindung ist schwebend oder halboffen. Der Angreifer versucht weitere halboffene Verbindungen herzustellen. Das System bindet immer mehr Res-sourcen bis die Kapazität erschöpft ist. Die Ausführung der Dienste erfolgt dann nur noch langsam oder gar nicht mehr. (Bace und Mell 2001, S. 42)
Die dritte wichtige Art sind Angriffe auf die Integrität und Vertraulichkeit. Ziel ist der Zugriff auf Daten, Ressourcen und Nutzerrechte sowie deren unerlaubte Modifikation. Die häufigsten Attacken dieser Art sind User to Root, bei der ein lokaler Nutzer alle Kontrollen über den Host erhält, die Remote to User, mit der ein Angreifer den Zugang eines legitimen Nutzers auf einem Host erlangt und die Remote to Root, die dem externen Angreifer die gesamte Kontrolle über einen Host verschafft. Außerdem ist es möglich, dass ein Hacker private Daten des Zielcomputers einsieht ohne Zustimmung des Besitzers, sog. Remote Disk Read oder so-gar Daten verändert bei der Remote Disk Write Attacke. (Bace und Mell 2001, S. 43)
Meier (2007, S. 21) unterteilt die Angriffe nach einem anderen Aspekt. Single Step Attacken bezeichnen Eingriffe, die anhand eines einzigen Audit-Records identifiziert werden. Die Sig-naturen dafür bestehen aus typischen Byte-Sequenzen. Diese können einzeln oder kombiniert auftreten und deuten auf einen Missbrauch hin. Bei Multi Step Attacken dagegen finden sich die charakteristischen Merkmale in mehreren Audit-Records. Nur wenn diese in Zusammen-hang gebracht werden, wird der Angriff erkannt. Dieser Einteilung entsprechend können ID-Systeme klassifiziert werden. Single Step IDS erkennen nur Single Step Attacken und arbei-ten hauptsächlich mit String-Vergleichen. Eine Erweiterung stellen die Multi Step IDS dar, die mit komplexeren Analyseverfahren auch Multi Step Attacken identifizieren. (Meier 2007, S. 21)
Prinzipiell kann jeder Angriff mehrmals ausgeführt werden. Einfachere, standardisierte Atta-cken können mit der Unterstützung durch Tools von vielen Personen angewandt werden. Bei ihnen scheint die Tendenz zur Mehrfachanwendung sehr groß zu sein, da mit wenig Fachwis-sen Informationen erlangt und Schaden angerichtet werden kann. Gleichzeitig ist die Gefahr einer Entdeckung groß. Sicherheitsfirmen und IDS kennen die standardisierten Vorgehens-weisen und entdecken diese leichter. Individuelle Angriffe, die auf ganz bestimmte Informa-tionen abzielen, erfordern tieferes Wissen. Der Kreis der Anwender beschränkt sich auf weni-ge Experten, die die Prozedur mit dem nötigen Know-How durchführen können. Gleichzeitig erfordern diese Angriffe mehr Zeit in der Vorbereitung, für die Erstellung und bei der Ausfüh-rung, aufgrund der längeren und komplexeren Vorgehensweise. Derartige Angriffe kommen weniger oft zum Einsatz und werden nur selten durch automatische Intrusion Detection er-kannt.
4.2 Intrusion Detection Systeme
Die zunehmende Vernetzung der Computer und die immer unkompliziertere Kommunikation über das Internet stellten neue Gefahrenquellen für IT-Systeme dar. Hinzu kam die in Ab-schnitt 4.1 beschriebene Verringerung des benötigten Wissens für Computereinbrüche durch automatische Tools, so dass die Menge der potenziellen Angreifer wuchs. Insgesamt stieg dadurch bei den Unternehmen die Nachfrage nach Schutzsystemen für Computer und Netz-werke (Helden und Karsch 1998, S. 3; Meier 2007, S. 4).
Neben den traditionellen Zugangskontrollen wurden zunächst Firewalls zur Verhinderung unerwünschter Kommunikation entwickelt (Bace 2000, S. 35; BSI o.J.). Alle diese präventi-ven Maßnahmen zielen darauf ab, einen möglichen Einbruchsversuch zu erschweren bzw. gänzlich zu verhindern (Cavusoglu et al. 2005, S. 28). Sie bergen jedoch Gefahren. Einerseits spielt die menschliche Komponente eine wichtige Rolle. So kann der fahrlässige Umgang des berechtigten Nutzers zu einer nicht autorisierten Nutzung durch fremde Dritte führen. Immer wieder erhalten Angreifer durch Unachtsamkeit von Berechtigten z.B. Benutzername und Kennwort für eine Applikation oder einen Host. Außerdem gibt es auch Angriffe von berech-tigten Nutzern, sog. Insidern, die ihre Berechtigungen überschreiten oder missbrauchen, wie in Kapitel 2.3 beschrieben (Anderson 1980, S. 11; Meier 2007, S. 8). Neben menschlichen Fehlern ist andererseits auch die Technik nicht perfekt. Die Systeme bieten z.B. aufgrund von Programmier- oder Einstellungsfehlern keinen 100%-igen Schutz (Cavusoglu et al. 2005, S. 29; Meier 2007, S. 8). Ergänzend dazu sollen Intrusion Detection Systeme als Schutz in der zweiten Reihe dienen (Biermann et al. 2001, S. 676). Sie identifizieren Angriffe, die von den präventiven Maßnahmen nicht verhindert werden konnten. Das Erkennen eines Angriffs wird durch einen Alarm angezeigt, der ggf. eine direkte Information an den Sicherheitsverantwort-lichen oder erste Gegenmaßnahmen enthält (Axelsson und Sands 2006, S. 22). Der letzte As-pekt erwähnt bereits eine weitere wichtige Entwicklung im Bereich der IT-Sicherheit, die Intrusion Prevention Systeme (IPS). Sie erkennen ebenfalls Angriffe und reagieren im Gegen-satz zu klassischen Detection Systemen weitgehend selbständig darauf. Die Reaktionen gehen über die reine Information von Verantwortlichen hinaus. Typische Abwehrmaßnahmen sind die Trennung der Verbindung über die der Angriff stattfindet, das Abschalten des gesamten Systems oder ein Gegenschlag in Richtung des Angreifers (Scarfone und Mell 2007, Kap. 2, S. 3). Das Ziel ist es, nicht nur Angriffe zu melden, sondern möglichen Schaden zu beschränken oder zu verhindern (Meier 2007, S. 8). Die verwendeten Methoden zur Angriffs-erkennung sind dieselben wie bei ID-Systemen (Scarfone und Mell 2007, Kap. 2, S. 1). Aus diesem Grund und im Einklang mit dem rahmengebenden Forschungsprojekt beschränkt sich die vorliegende Arbeit auf die Analyse von Intrusion Detection Systemen und verzichtet auf eine detaillierte Darstellung von IPS.
In der Literatur wird über einen möglichen Effekt der Abschreckung durch IDS diskutiert (Cremonini und Nizovtsev 2006, S. 4; Meier 2007, S. 8). Die Hypothese lautet, dass allein das Vorhandensein eines ID-Systems mögliche Hacker abschreckt, wenn sie von dessen Existenz wissen. Dieser Effekt wird in die vorliegende Arbeit nicht einbezogen, da die Analyse auf der Anzahl an durchgeführten Angriffen, der Angriffsintensität, aufbaut. Möglicherweise unter-lassene Attacken aufgrund der Gefahr der Entdeckung werden nicht berücksichtigt.
Dieses Kapitel stellt Intrusion Detection Systeme detailliert vor. Zunächst wird der generelle Aufbau von ID-Systemen erläutert. Die anschließenden Abschnitte stellen die verschiedenen Arten von Systemen vor und erklären ihre Funktionsweise. Aussagen über die Erkennungs-wahrscheinlichkeit aus den wenigen bisherigen Studien fließen ein, sind jedoch meist qualita-tiv. Abschließend werden spezielle Methoden der unterschiedlichen Analysearten detailliert beschrieben.
4.2.1 Komponenten von Intrusion Detection Systemen
Die unterschiedlichen Aufgaben der Überwachung, Analyse und Reaktion werden von unter-schiedlichen Komponenten der ID-Systeme ausgeführt. Die Ereigniskomponente erfasst die Aktivitäten im System und stellt sie als Audit-Records bereit. Diese werden von der Analyse-komponente mit Hilfe von Informationen aus der Datenbank auf Anzeichen für Angriffe un- tersucht. Aufbauend auf deren Ergebnissen führt die Reaktionskomponente Maßnahmen aus. (Bace 2000, S. 27; Helden und Karsch, 1998, S. 9)
Die folgenden Abschnitte erläutern Aufbau und Funktion der jeweiligen Komponente detail-liert und beschreiben deren Einfluss auf die Erkennungswahrscheinlichkeit von Angriffen. Das hier vorgestellte Konzept der Komponenten lehnt sich an den Common Intrusion Detection Framework (CIDF) an, der einen Ansatz zur Standardisierung von Intrusion Detection Systemen darstellt (siehe Amoroso 1999, S. 94; Meier 2007, S. 9ff.).
4.2.1.1 Ereigniskomponente
Die Basis eines IDS bildet die Ereigniskomponente, die Event Generator oder E-Box im CIDF genannt wird (Amoroso 1999, S. 26). Sie sammelt Daten über das zu schützende System und stellt sie für die Analyse bereit. Dieser Vorgang wurde in Kapitel 2.5 als Audit defi-niert. Entsprechend den Anforderungen an das System, z.B. dass die Analyse in Echtzeit er-folgen soll, muss die Ereigniskomponente mit Fähigkeiten und Kapazitäten ausgestattet wer-den (Amoroso 1999, S. 74).
Die physische Datensammlung erfolgt über Sensoren. Diese müssen nicht unmittelbar am oder im IDS platziert sein (Amoroso 1999, S. 26). Vor allem bei netzwerkbasierten Systemen wird die Hardware an kritischen Punkten im Netz installiert, um Netzwerkpakete und andere Spuren für ein gesamtes Netzwerksegment zu überwachen (Allen et al. 2000, S. 9; Scarfone und Mell 2007, Kap. 3, S. 1). Das ID-System selbst arbeitet auf einem zentralen Rechner und erhält die Auditdaten von den dezentralen Sensoren. Eine weitere Methode der Datensamm-lung sind Sniffer. Dabei handelt es sich um Software (ATIS 2007), die im nicht-promiskuitiven Modus den ankommenden und abgehenden Datenverkehr des Computers auf-zeichnet, auf dem sie installiert ist. Im Promiskmodus zeichnet das Programm den gesamten Datenverkehr auf, der durch diese Netzwerkschnittstelle fließt (Scarfone und Mell 2007, Kap. A, S. 2). Bei hostbasierten Systemen ist die Bezeichnung der Sensoren als „Agent“ üblich (Scarfone und Mell 2007, Kap. 3, S. 1). Die Auditfunktion muss hier nicht notwendigerweise Bestandteil des IDS sein. Die meisten der gängigen Betriebssysteme z.B. Windows und UNIX auditieren selbst die Systemaktivitäten (Amoroso 1999, S. 22; Helden und Karsch, 1998, S. 8). Ihre gesammelten Daten werden an das IDS weitergeleitet und dort verarbeitet.
Die Ereigniskomponente erfasst erstens quantitative Informationen, z.B. wie viele SYN-Pakete ein Port in einer bestimmten Zeit erhielt. Zweiter Bestandteil sind qualitative Aussa-gen, z.B. dass der User X fünf Emails an dieselbe Adresse schickte und anschließend eine Datei löschte (Helden und Karsch, 1998, S. 9). Für die Erkennung von Angriffen müssen alle sicherheitsrelevanten Aktivitäten protokolliert werden (Meier 2007, S. 10).
Qualität und Quantität der Auditdaten sind auschlaggebend für die Erkennungsgenauigkeit. Während eines normalen Arbeitstages können für einen Host mehrere tausend Audit-Records erstellt werden (Axelsson 2000, S. 191). Die Datenmenge wird dann schnell unübersichtlich und schwer zu handhaben für Echtzeitanalysen. Die Anforderung der Qualität beschreibt die Notwendigkeit genau die Daten zu erfassen, die für die Angriffserkennung erforderlich sind, ohne unnötige Informationen zu berücksichtigen. Dies wird vor allem von der Abstraktions-ebene bestimmt, auf der die Protokollierung statt findet (Helden und Karsch 1998, S. 10), z.B. auf Ebene des Betriebssystems mit Informationen über die CPU-Auslastung oder auf Appli-kationsebene zur Erfassung von Programmzugriffen. Die meisten IDS sind auf TCP/IP-basierte Analysen ausgerichtet (Amoroso 1999, S. 74) und beobachten die Netzwerkkommu-nikation auf der höchsten oder zweithöchsten Schicht, der Anwendungs- oder Transport-schicht (Lindqvist und Porras 1999, S. 155). Die Güte der von der Ereigniskomponente ge-sammelten Daten bestimmt somit maßgeblich den Erfolg der Analysekomponente (Helden und Karsch 1998, S. 9).
Die Erfassung der Auditdaten durch die Ereigniskomponente bildet den Grundstein für die korrekte Erkennung von Angriffen. Aufgrund der Rahmenbedingungen erfolgt in der vorlie-genden Arbeit keine genaue Untersuchung des Einflusses der E-Box auf die Erkennungswahr-scheinlichkeit. Wie in Meier (2007, S. 12) wird davon ausgegangen, dass alle relevanten Sys-temaktivitäten entsprechend der Analyseart[2] auf optimale Weise erfasst werden.
4.2.1.2 Analyse- und Datenbankkomponente
Der Hauptbestandteil eines ID-Systems ist die Analysekomponente, nach CIDF Analysis Engine oder A-Box genannt (Amoroso 1999, S. 27). Sie erhält die relevanten Audit-Records von der Ereigniskomponente und untersucht diese auf Sicherheitsverletzungen. Für die Analyse werden zusätzlich gespeicherte Informationen aus der Datenbankkomponente verwendet. (Meier 2007, S. 12; Scarfone und Mell 2007, Kap. 3, S. 1)
Die Analysekomponente führt die festgelegten Algorithmen und statistischen Berechnungen aus (Amoroso 1999, S. 71). Eine Beschreibung der gängigsten Analysemethoden im Rahmen von Missbrauchs- und Anomalieerkennung erfolgt in Kapitel 4.2.3. Es ist dabei möglich, dass die A-Box-Funktionen nicht zentral, sondern verteilt auf verschiedenen Komponenten des zu schützenden Systems laufen (Amoroso 1999, S. 95). Die Überprüfung der Daten kann ver-schiedene Ergebnisse zur Folge haben. Erkennt das IDS einen Angriff korrekt oder klassifi-ziert es ein normales Verhalten als unkritisch, so handelt es sich um True Positives, echte Angriffe oder True Negatives, d.h. echtes Normalverhalten (Meier 2007, S. 12). Der Anteil der True Positives wird durch die Erkennungsrate des IDS ausgedrückt (Axelsson 2000, S. 192), die möglichst hoch, d.h. nahe Eins, sein soll. Gibt das IDS eine falsche Einschätzung ab, kann es sich zum einen um False Positives, also alarmiertes Normalverhalten oder um False Negatives, d.h. unerkannte Angriffe handeln (Meier 2007, S. 12). Die False Positives werden zur Fehlalarmrate zusammengefasst (Axelsson 2000, S. 192), die bei der Bewertung von ID-Systemen ebenso wichtig ist, wie die Erkennungsrate (Cavusoglu et al. 2005, S. 29). Zwischen den beiden Kennzahlen herrscht ein Trade-off (Cavusoglu et al. 2005, S. 31). Für eine höhere Erkennungswahrscheinlichkeit, d.h. mehr erkannte Angriffe, sind weniger restrik-tive Einstellungen des IDS notwendig. Die Veränderlichkeit der Daten, die normale und anormale Aktionen beschreiben, führt dazu, dass dann auch gehäuft unkritische Aktionen als Angriff eingestuft werden (Cavusoglu et al. 2005, S. 31). Die allgemeinere Regel, dass drei fehlgeschlagene Log-In-Versuche verdächtig sind, stuft mehr Handlungen als Angriff ein, als die speziellere Aussage, dass drei erfolglose Log-In-Versuche innerhalb von 30 Sekunden auf eine Sicherheitsverletzung hindeuten.
[...]
[1] Nähere Informationen zur Protokollierungsebene in Kapitel 4.2.1.1.
[2] Erläuterungen zu Missbrauchs- und Anomalieerkennung siehe Kapitel 4.2.2.2.
- Quote paper
- Adeline Galonska (Author), 2008, Intrusion Detection Systeme, Munich, GRIN Verlag, https://www.grin.com/document/135617
-
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X.