Sie sind hier
E-Book

Intrusion Detection effektiv!

Modellierung und Analyse von Angriffsmustern

AutorMichael Meier
VerlagSpringer-Verlag
Erscheinungsjahr2007
Seitenanzahl209 Seiten
ISBN9783540482581
FormatPDF
KopierschutzDRM
GerätePC/MAC/eReader/Tablet
Preis22,99 EUR

Intrusion-Detection-Systeme werden zum Schutz vor Angriffen von IT-Systemen eingesetzt. Sie erkennen Missbrauch, indem sie Systemereignisse mit bekannten Angriffsmustern vergleichen. Der praktische Einsatz dieser Systeme ist häufig von Fehlalarmen geprägt. Die Ursache liegt in unzureichenden Angriffsmustern. Der Autor stellt hier Ansätze zur Steigerung der Wirksamkeit von Missbrauchserkennung im praktischen Einsatz vor. Systematisch untersucht er Anforderungen an die Repräsentation von Angriffsmustern. Er entwickelt einen an Petri-Netze angelehnten Ansatz zur grafischen Modellierung, Veranschaulichung und Erkennung von Angriffsmustern.



Michael Meier studierte von 1993 bis 1998 Informatik an der BTU Cottbus. Nach seinem Studium war er als wissenschaftlicher Mitarbeiter am Lehrstuhl Rechnernetze und Kommunikationssysteme der BTU Cottbus tätig. Seit 2006 ist Michael Meier als wissenschaftlicher Angestellter an Universität Dortmund beschäftigt. Seine Forschungstätigkeit konzentriert sich auf den Bereich der Netzwerksicherheit, insbesondere Intrusion Detection. Michael Meier ist Gründungsmitglied der Leitungsgremiums der GI-Fachgruppe SIDAR (Security Intrusion Detection and Response) sowie Vorsitzender des Steuerungskomitees der internationalen Tagung DIMVA (Detection of Intrusions and Malware and Vulnerability Assessment).

Kaufen Sie hier:

Horizontale Tabs

Leseprobe

5 Semantische Aspekte von Angriffssignaturen (S. 41-42)

Zur Modellierung und Beschreibung von Angriffssignaturen wurden verschiedene Ansätze in der Literatur vorgeschlagen und realisiert. Diese unterscheiden sich hinsichtlich der adressierten Aspekte von Signaturen teilweise deutlich voneinander. Das hat eine sehr unterschiedliche und begrenzte Ausdrucksstärke der jeweiligen Beschreibungsmittel zur Folge, so dass diese Methoden lediglich für eine eingeschränkte Menge von Signaturen geeignet sind. Bevor wir in folgenden Kapiteln die Modellierung und Beschreibung von Signaturen diskutieren, führen wir in diesem Kapitel ein Modell für die Semantik von Signaturen ein.

Das Modell stellt systematisch die Aspekte von Signaturen dar, die in einer Beschreibung charakterisiert werden müssen, um eine adäquate Erkennung von Situationen, die Sicherheitsverletzung darstellen, zu ermöglichen. Es definiert Anforderungen an Methoden zur Modellierung und Beschreibung von Signaturen. Das Kennzeichnen und Identifizieren von relevanten Situationen erfolgt typischerweise durch die Beschreibung eines entsprechenden Ereignisses. Ereignisbeschreibungen enthalten Informationen über die Umstände, die das Ereignis auslösen, und die Auswirkungen auf weitere Ereignisse. Die Charakterisierung von Ereignissen ist in verschiedenen Bereichen der Informationsverarbeitung von Bedeutung. Im Zusammenhang mit dem von uns betrachteten Problemfeld kann insbesondere auf Erkenntnisse aus der Theorie aktiver Datenbanken zurückgegriffen werden.

Aktive Datenbanken erweitern klassische Datenbankmanagementsysteme (DBMS) um aktive Komponenten zur Reaktion auf spezifizierte Ereignisse. In der Theorie aktiver Datenbankmanagementsysteme existieren Modelle zur Charakterisierung von Ereignissen [Zim+99], die auf den Problembereich der Signaturbeschreibung angepasst werden können [Mei04a]. Wir stellen zunächst das Konzept aktiver Datenbanken kurz vor und arbeiten Unterschiede zu Signaturanalysesystemen heraus. Davon ausgehend wird ein Modell für die Semantik von Signaturen entwickelt und die verschiedenen semantischen Aspekte werden anhand von Beispielen diskutiert.

5.1 Aktive Datenbanksysteme

Konventionelle Datenbanksysteme sind passive Systeme. Sie führen Anfragen oder Transaktionen nur auf Veranlassung von außen, z. B. durch den Benutzer oder eine Anwendung, durch. In bestimmten Situationen kann es jedoch wünschenswert sein, auf spezielle Datenbankzustände automatisch reagieren zu können. Zu diesem Zweck wurden aktive Datenbanksysteme entwickelt, die beispielsweise automatisch Integritätsbedingungen durchsetzen, abgeleitete Daten berechnen oder verteilte Berechnungen koordinieren [Pa+99].

5.1.1 Ereignisse in aktiven Datenbanken

Aktive Datenbanken verwenden aktive Regeln, so genannte Event-Condition- Action-Regeln (ECA-Regeln) [Pa98], um Situationen zu beschreiben und im Falle ihres Eintretens darauf zu reagieren. Eine ECA-Regel besitzt folgende Form:

on event
if condition
do action

Die Bedingungen einer ECA-Regel werden nach dem Eintreten des Ereignisses überprüft. Sind sie erfüllt, so wird die Aktion der Regel ausgeführt. Auslösende Ereignisse sind typischerweise Datenmanipulationsoperationen, wie das Einfügen oder Aktualisieren eines Elements. Komplexe Ereignisse, die Kombinationen von Ereignissen darstellen, können unter Verwendung von Operatoren der Ereignisalgebra einer Ereignisbeschreibungssprache spezifiziert werden.

In der Literatur wurden eine Reihe von Ereignissprachen für aktive Datenbanksysteme vorgeschlagen. Beispiele sind HiPAC [Da+96], NAOS [Co+96], SNOOP [Ch+94] und ACOOD [Be91]. Diese unterscheiden sich teilweise stark in der umgesetzten Ereignissemantik und besitzen dadurch unterschiedliche Mächtigkeiten. Zimmer [Zim98] untersuchte existierende Ereignissprachen für aktive Datenbanken und entwickelte ein Meta-Modell für die Semantik von Ereignissen in aktiven Datenbanken, das systematisch die verschiedenen Aspekte von Ereignissen in aktiven Datenbanken darstellt.

Inhaltsverzeichnis
Vorwort7
Inhaltsverzeichnis9
Abkürzungsverzeichnis12
1 Einleitung14
2 IT-Sicherheit und Intrusion Detection18
2.1 IT-Sicherheit18
2.2 Sicherheitsmechanismen20
2.3 Intrusion-Detection-Systeme22
2.3.1 Ereigniskomponenten und Audit22
2.3.2 Analyse- und Datenbankkomponenten25
2.3.3 Reaktionskomponenten31
2.4 Fazit32
3 Missbrauchserkennung34
3.1 Systemmodell und Informationsarten35
3.2 Aktuelle Herausforderungen38
3.2.1 Fehlalarme39
3.2.2 Effiziente Erkennung40
3.2.3 Fazit41
4 Beispiele42
4.1 Beispielumgebung Solaris42
4.1.1 Schwachstellen42
4.1.2 Audit-Funktion44
4.2 Beispielattacken45
4.2.1 Login-Attacke46
4.2.2 PATH-Attacke48
4.2.3 Link-Attacke50
4.2.4 Nebenläufige Link-Attacke52
5 Semantische Aspekte von Angriffssignaturen54
5.1 Aktive Datenbanksysteme55
5.1.1 Ereignisse in aktiven Datenbanken55
5.1.2 Unterschiede zum Signaturkonzept56
5.2 Ereignisse – Begriffseinführung57
5.3 Dimensionen der Semantik von Signaturen62
5.4 Ereignismuster64
5.4.1 Typ und Reihenfolge65
5.4.2 Häufigkeit66
5.4.3 Kontinuität69
5.4.4 Nebenläufigkeit69
5.4.5 Kontextbedingungen70
5.5 Selektion der Schrittinstanzen70
5.6 Konsum von Schrittinstanzen72
5.6.1 Aktionsfolgen und Aktionssemantik73
5.6.2 Auswahl von Schrittkombinationen73
5.6.3 Schrittkombinationen75
5.7 Zusammenfassung78
6 Modell für Angriffssignaturen80
6.1 Signaturnetze – Das allgemeine Modell80
6.2 Modellierungselemente im Detail82
6.2.1 Plätze82
6.2.2 Transitionen83
6.2.3 Kanten85
6.2.4 Token85
6.2.5 Schaltregel88
6.2.6 Charakteristische Netztopologien93
6.3 Eine Beispielsimulation99
6.4 Formale Definition eines Signaturnetzes102
6.5 Ausdrucksstärke111
6.5.1 Ereignismuster111
6.5.2 Instanzselektion119
6.5.3 Instanzkonsum119
6.6 Verwandte Ansätze121
6.6.1 Automatenbasierte Signaturmodellierung121
6.6.2 Graphenbasierte Signaturmodellierung123
6.6.3 Netzbasierte Signaturmodellierung123
6.7 Zusammenfassung124
7 Beschreibung von Angriffssignaturen126
7.1 Signaturentwicklung126
7.2 Regelbasierte Signaturbeschreibung128
7.2.1 Expertensysteme129
7.2.2 Expertensystembasierte Missbrauchserkennung130
7.2.3 Probleme expertensystembasierter Missbrauchs-erkennung132
7.2.4 Regelbasierte Signaturbeschreibung136
7.3 SHEDEL – Eine einfache ereignisbasierte Beschreibungssprache136
7.3.1 Beschreibungselemente von SHEDEL137
7.3.2 Beispiele140
7.3.3 Diskussion144
7.4 EDL145
7.4.1 Basiskonzepte145
7.4.2 Beispiel152
7.4.3 Diskussion154
7.5 Alternative Beschreibungszugänge155
7.6 Zusammenfassung157
8 Analyseverfahren160
8.1 Stand der Technik161
8.1.1 Abbildung in separate Programm-Module161
8.1.2 Expertensystembasierte Analysen164
8.2 Optimierungsstrategien172
8.2.1 Strategie 1: Ereignistypbasierte Transitionsindizierung172
8.2.2 Strategie 2: Tokenunabhängige Prüfung von Intra-Ereignis-Bedingungen173
8.2.3 Strategie 3: Wertebasierte Tokenindizierung174
8.2.4 Strategie 4: Gemeinsame Ausdrücke177
8.2.5 Strategie 5: Kostenbasierte Bedingungspriorisierung178
8.2.6 Diskussion179
8.3 Das Analysewerkzeug SAM181
8.4 Experimentelle Evaluierung183
8.4.1 Testszenario184
8.4.2 Vorgehensweise und Messumgebungen189
8.4.3 Messergebnisse und Diskussion190
8.5 Zusammenfassung195
9 Zusammenfassung und Ausblick198
10 Anhang200
10.1 Signatur der nebenläufigen Link-Attacke in EDL200
Index206
Literatur210

Weitere E-Books zum Thema: Sicherheit - IT Security

Hacking für Manager

E-Book Hacking für Manager
Was Manager über IT-Sicherheit wissen müssen. Die Tricks der Hacker. Format: PDF

Die Technik, die uns heute überschwemmt, lässt uns gar keine Chance mehr, alles so abzusichern, dass wir auch wirklich sicher sind. Lernen Sie die Waffen Ihrer Gegner und Ihre eigenen…

Trust in IT

E-Book Trust in IT
Wann vertrauen Sie Ihr Geschäft der Internet-Cloud an? Format: PDF

Cloud Computing ist der nächste Paradigmenwechsel in der IT - weg von starren IT-Infrastrukturen hin zur dynamischen Nutzung von IT-Ressourcen. Beim Cloud Computing nutzen Unternehmen Hardware,…

Ich glaube, es hackt!

E-Book Ich glaube, es hackt!
Ein Blick auf die irrwitzige Realität der IT-Sicherheit Format: PDF

Die Technik, die uns heute überschwemmt, lässt uns gar keine Chance mehr, alles so abzusichern, dass wir auch wirklich sicher sind. Lernen Sie die Waffen Ihrer Gegner und Ihre eigenen…

Cybersecurity Best Practices

E-Book Cybersecurity Best Practices
Lösungen zur Erhöhung der Cyberresilienz für Unternehmen und Behörden Format: PDF

Das Thema Cybersecurity ist so aktuell wie nie, denn im Cyberspace lassen sich nur schwer Grenzen in Bezug auf den Zugang zu Informationen, Daten und Redefreiheit setzen. Kriminelle nutzen die Lücken…

Security Awareness

E-Book Security Awareness
Grundlagen, Maßnahmen und Programme für die Informationssicherheit - De Gruyter STEM  Format: ePUB

Die Awareness für Informationssicherheit gewinnt aufgrund einer steigenden Bedrohungslage und immer strengerer Compliance-Anforderungen zunehmend an Bedeutung. Das Buch bietet eine fundierte…

Trust in IT

E-Book Trust in IT
Wann vertrauen Sie Ihr Geschäft der Internet-Cloud an? Format: PDF

Cloud Computing ist der nächste Paradigmenwechsel in der IT - weg von starren IT-Infrastrukturen hin zur dynamischen Nutzung von IT-Ressourcen. Beim Cloud Computing nutzen Unternehmen Hardware,…

INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle

E-Book INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle
Praxisorientierte Prinzipien für ein profitables und effizientes Security-Management und -Controlling für Unternehmen Format: ePUB

In der Lektüre 'INFORMATIONSSICHERHEIT - kompakt, effizient und unter Kontrolle' sind alle wesentlichen Aspekte der Standardliteratur extrahiert, zusammengefasst und leicht verständlich formuliert.…

Weitere Zeitschriften

BEHINDERTEPÄDAGOGIK

BEHINDERTEPÄDAGOGIK

Für diese Fachzeitschrift arbeiten namhafte Persönlichkeiten aus den verschiedenen Fotschungs-, Lehr- und Praxisbereichen zusammen. Zu ihren Aufgaben gehören Prävention, Früherkennung, ...

Berufsstart Gehalt

Berufsstart Gehalt

»Berufsstart Gehalt« erscheint jährlich zum Sommersemester im Mai mit einer Auflage von 50.000 Exemplaren und ermöglicht Unternehmen sich bei Studenten und Absolventen mit einer ...

bank und markt

bank und markt

Zeitschrift für Banking - die führende Fachzeitschrift für den Markt und Wettbewerb der Finanzdienstleister, erscheint seit 1972 monatlich. Leitthemen Absatz und Akquise im Multichannel ...

BONSAI ART

BONSAI ART

Auflagenstärkste deutschsprachige Bonsai-Zeitschrift, basierend auf den renommiertesten Bonsai-Zeitschriften Japans mit vielen Beiträgen europäischer Gestalter. Wertvolle Informationen für ...

ERNEUERBARE ENERGIEN

ERNEUERBARE ENERGIEN

ERNEUERBARE ENERGIEN informiert durch unabhängigen Journalismus umfassend über die wichtigsten Geschehnisse im Markt der regenerativen Energien. Mit Leidenschaft sind wir stets auf der Suche nach ...

Euro am Sonntag

Euro am Sonntag

Deutschlands aktuelleste Finanz-Wochenzeitung Jede Woche neu bietet €uro am Sonntag Antworten auf die wichtigsten Fragen zu den Themen Geldanlage und Vermögensaufbau. Auch komplexe Sachverhalte ...

F- 40

F- 40

Die Flugzeuge der Bundeswehr, Die F-40 Reihe behandelt das eingesetzte Fluggerät der Bundeswehr seit dem Aufbau von Luftwaffe, Heer und Marine. Jede Ausgabe befasst sich mit der genaue Entwicklungs- ...