Sie sind hier
E-Book

Intrusion Detection effektiv!

Modellierung und Analyse von Angriffsmustern

AutorMichael Meier
VerlagSpringer-Verlag
Erscheinungsjahr2007
Seitenanzahl209 Seiten
ISBN9783540482581
FormatPDF
KopierschutzDRM
GerätePC/MAC/eReader/Tablet
Preis22,99 EUR

Intrusion-Detection-Systeme werden zum Schutz vor Angriffen von IT-Systemen eingesetzt. Sie erkennen Missbrauch, indem sie Systemereignisse mit bekannten Angriffsmustern vergleichen. Der praktische Einsatz dieser Systeme ist häufig von Fehlalarmen geprägt. Die Ursache liegt in unzureichenden Angriffsmustern. Der Autor stellt hier Ansätze zur Steigerung der Wirksamkeit von Missbrauchserkennung im praktischen Einsatz vor. Systematisch untersucht er Anforderungen an die Repräsentation von Angriffsmustern. Er entwickelt einen an Petri-Netze angelehnten Ansatz zur grafischen Modellierung, Veranschaulichung und Erkennung von Angriffsmustern.



Michael Meier studierte von 1993 bis 1998 Informatik an der BTU Cottbus. Nach seinem Studium war er als wissenschaftlicher Mitarbeiter am Lehrstuhl Rechnernetze und Kommunikationssysteme der BTU Cottbus tätig. Seit 2006 ist Michael Meier als wissenschaftlicher Angestellter an Universität Dortmund beschäftigt. Seine Forschungstätigkeit konzentriert sich auf den Bereich der Netzwerksicherheit, insbesondere Intrusion Detection. Michael Meier ist Gründungsmitglied der Leitungsgremiums der GI-Fachgruppe SIDAR (Security Intrusion Detection and Response) sowie Vorsitzender des Steuerungskomitees der internationalen Tagung DIMVA (Detection of Intrusions and Malware and Vulnerability Assessment).

Kaufen Sie hier:

Horizontale Tabs

Leseprobe

5 Semantische Aspekte von Angriffssignaturen (S. 41-42)

Zur Modellierung und Beschreibung von Angriffssignaturen wurden verschiedene Ansätze in der Literatur vorgeschlagen und realisiert. Diese unterscheiden sich hinsichtlich der adressierten Aspekte von Signaturen teilweise deutlich voneinander. Das hat eine sehr unterschiedliche und begrenzte Ausdrucksstärke der jeweiligen Beschreibungsmittel zur Folge, so dass diese Methoden lediglich für eine eingeschränkte Menge von Signaturen geeignet sind. Bevor wir in folgenden Kapiteln die Modellierung und Beschreibung von Signaturen diskutieren, führen wir in diesem Kapitel ein Modell für die Semantik von Signaturen ein.

Das Modell stellt systematisch die Aspekte von Signaturen dar, die in einer Beschreibung charakterisiert werden müssen, um eine adäquate Erkennung von Situationen, die Sicherheitsverletzung darstellen, zu ermöglichen. Es definiert Anforderungen an Methoden zur Modellierung und Beschreibung von Signaturen. Das Kennzeichnen und Identifizieren von relevanten Situationen erfolgt typischerweise durch die Beschreibung eines entsprechenden Ereignisses. Ereignisbeschreibungen enthalten Informationen über die Umstände, die das Ereignis auslösen, und die Auswirkungen auf weitere Ereignisse. Die Charakterisierung von Ereignissen ist in verschiedenen Bereichen der Informationsverarbeitung von Bedeutung. Im Zusammenhang mit dem von uns betrachteten Problemfeld kann insbesondere auf Erkenntnisse aus der Theorie aktiver Datenbanken zurückgegriffen werden.

Aktive Datenbanken erweitern klassische Datenbankmanagementsysteme (DBMS) um aktive Komponenten zur Reaktion auf spezifizierte Ereignisse. In der Theorie aktiver Datenbankmanagementsysteme existieren Modelle zur Charakterisierung von Ereignissen [Zim+99], die auf den Problembereich der Signaturbeschreibung angepasst werden können [Mei04a]. Wir stellen zunächst das Konzept aktiver Datenbanken kurz vor und arbeiten Unterschiede zu Signaturanalysesystemen heraus. Davon ausgehend wird ein Modell für die Semantik von Signaturen entwickelt und die verschiedenen semantischen Aspekte werden anhand von Beispielen diskutiert.

5.1 Aktive Datenbanksysteme

Konventionelle Datenbanksysteme sind passive Systeme. Sie führen Anfragen oder Transaktionen nur auf Veranlassung von außen, z. B. durch den Benutzer oder eine Anwendung, durch. In bestimmten Situationen kann es jedoch wünschenswert sein, auf spezielle Datenbankzustände automatisch reagieren zu können. Zu diesem Zweck wurden aktive Datenbanksysteme entwickelt, die beispielsweise automatisch Integritätsbedingungen durchsetzen, abgeleitete Daten berechnen oder verteilte Berechnungen koordinieren [Pa+99].

5.1.1 Ereignisse in aktiven Datenbanken

Aktive Datenbanken verwenden aktive Regeln, so genannte Event-Condition- Action-Regeln (ECA-Regeln) [Pa98], um Situationen zu beschreiben und im Falle ihres Eintretens darauf zu reagieren. Eine ECA-Regel besitzt folgende Form:

on event
if condition
do action

Die Bedingungen einer ECA-Regel werden nach dem Eintreten des Ereignisses überprüft. Sind sie erfüllt, so wird die Aktion der Regel ausgeführt. Auslösende Ereignisse sind typischerweise Datenmanipulationsoperationen, wie das Einfügen oder Aktualisieren eines Elements. Komplexe Ereignisse, die Kombinationen von Ereignissen darstellen, können unter Verwendung von Operatoren der Ereignisalgebra einer Ereignisbeschreibungssprache spezifiziert werden.

In der Literatur wurden eine Reihe von Ereignissprachen für aktive Datenbanksysteme vorgeschlagen. Beispiele sind HiPAC [Da+96], NAOS [Co+96], SNOOP [Ch+94] und ACOOD [Be91]. Diese unterscheiden sich teilweise stark in der umgesetzten Ereignissemantik und besitzen dadurch unterschiedliche Mächtigkeiten. Zimmer [Zim98] untersuchte existierende Ereignissprachen für aktive Datenbanken und entwickelte ein Meta-Modell für die Semantik von Ereignissen in aktiven Datenbanken, das systematisch die verschiedenen Aspekte von Ereignissen in aktiven Datenbanken darstellt.

Inhaltsverzeichnis
Vorwort7
Inhaltsverzeichnis9
Abkürzungsverzeichnis12
1 Einleitung14
2 IT-Sicherheit und Intrusion Detection18
2.1 IT-Sicherheit18
2.2 Sicherheitsmechanismen20
2.3 Intrusion-Detection-Systeme22
2.3.1 Ereigniskomponenten und Audit22
2.3.2 Analyse- und Datenbankkomponenten25
2.3.3 Reaktionskomponenten31
2.4 Fazit32
3 Missbrauchserkennung34
3.1 Systemmodell und Informationsarten35
3.2 Aktuelle Herausforderungen38
3.2.1 Fehlalarme39
3.2.2 Effiziente Erkennung40
3.2.3 Fazit41
4 Beispiele42
4.1 Beispielumgebung Solaris42
4.1.1 Schwachstellen42
4.1.2 Audit-Funktion44
4.2 Beispielattacken45
4.2.1 Login-Attacke46
4.2.2 PATH-Attacke48
4.2.3 Link-Attacke50
4.2.4 Nebenläufige Link-Attacke52
5 Semantische Aspekte von Angriffssignaturen54
5.1 Aktive Datenbanksysteme55
5.1.1 Ereignisse in aktiven Datenbanken55
5.1.2 Unterschiede zum Signaturkonzept56
5.2 Ereignisse – Begriffseinführung57
5.3 Dimensionen der Semantik von Signaturen62
5.4 Ereignismuster64
5.4.1 Typ und Reihenfolge65
5.4.2 Häufigkeit66
5.4.3 Kontinuität69
5.4.4 Nebenläufigkeit69
5.4.5 Kontextbedingungen70
5.5 Selektion der Schrittinstanzen70
5.6 Konsum von Schrittinstanzen72
5.6.1 Aktionsfolgen und Aktionssemantik73
5.6.2 Auswahl von Schrittkombinationen73
5.6.3 Schrittkombinationen75
5.7 Zusammenfassung78
6 Modell für Angriffssignaturen80
6.1 Signaturnetze – Das allgemeine Modell80
6.2 Modellierungselemente im Detail82
6.2.1 Plätze82
6.2.2 Transitionen83
6.2.3 Kanten85
6.2.4 Token85
6.2.5 Schaltregel88
6.2.6 Charakteristische Netztopologien93
6.3 Eine Beispielsimulation99
6.4 Formale Definition eines Signaturnetzes102
6.5 Ausdrucksstärke111
6.5.1 Ereignismuster111
6.5.2 Instanzselektion119
6.5.3 Instanzkonsum119
6.6 Verwandte Ansätze121
6.6.1 Automatenbasierte Signaturmodellierung121
6.6.2 Graphenbasierte Signaturmodellierung123
6.6.3 Netzbasierte Signaturmodellierung123
6.7 Zusammenfassung124
7 Beschreibung von Angriffssignaturen126
7.1 Signaturentwicklung126
7.2 Regelbasierte Signaturbeschreibung128
7.2.1 Expertensysteme129
7.2.2 Expertensystembasierte Missbrauchserkennung130
7.2.3 Probleme expertensystembasierter Missbrauchs-erkennung132
7.2.4 Regelbasierte Signaturbeschreibung136
7.3 SHEDEL – Eine einfache ereignisbasierte Beschreibungssprache136
7.3.1 Beschreibungselemente von SHEDEL137
7.3.2 Beispiele140
7.3.3 Diskussion144
7.4 EDL145
7.4.1 Basiskonzepte145
7.4.2 Beispiel152
7.4.3 Diskussion154
7.5 Alternative Beschreibungszugänge155
7.6 Zusammenfassung157
8 Analyseverfahren160
8.1 Stand der Technik161
8.1.1 Abbildung in separate Programm-Module161
8.1.2 Expertensystembasierte Analysen164
8.2 Optimierungsstrategien172
8.2.1 Strategie 1: Ereignistypbasierte Transitionsindizierung172
8.2.2 Strategie 2: Tokenunabhängige Prüfung von Intra-Ereignis-Bedingungen173
8.2.3 Strategie 3: Wertebasierte Tokenindizierung174
8.2.4 Strategie 4: Gemeinsame Ausdrücke177
8.2.5 Strategie 5: Kostenbasierte Bedingungspriorisierung178
8.2.6 Diskussion179
8.3 Das Analysewerkzeug SAM181
8.4 Experimentelle Evaluierung183
8.4.1 Testszenario184
8.4.2 Vorgehensweise und Messumgebungen189
8.4.3 Messergebnisse und Diskussion190
8.5 Zusammenfassung195
9 Zusammenfassung und Ausblick198
10 Anhang200
10.1 Signatur der nebenläufigen Link-Attacke in EDL200
Index206
Literatur210

Weitere E-Books zum Thema: Sicherheit - IT Security

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Security@Work

E-Book Security@Work
Pragmatische Konzeption und Implementierung von IT-Sicherheit mit Lösungsbeispielen auf Open-Source-Basis Format: PDF

Die Autoren erläutern die konzeptionellen und technischen Grundlagen des Themas IT-Sicherheit anhand anschaulicher Beispiele. Im Fokus stehen dabei die praktische Verwendbarkeit realitätsnaher…

Security@Work

E-Book Security@Work
Pragmatische Konzeption und Implementierung von IT-Sicherheit mit Lösungsbeispielen auf Open-Source-Basis Format: PDF

Die Autoren erläutern die konzeptionellen und technischen Grundlagen des Themas IT-Sicherheit anhand anschaulicher Beispiele. Im Fokus stehen dabei die praktische Verwendbarkeit realitätsnaher…

Weitere Zeitschriften

aufstieg

aufstieg

Zeitschrift der NaturFreunde in Württemberg Die Natur ist unser Lebensraum: Ort für Erholung und Bewegung, zum Erleben und Forschen; sie ist ein schützenswertes Gut. Wir sind aktiv in der Natur ...

Card Forum International

Card Forum International

Card Forum International, Magazine for Card Technologies and Applications, is a leading source for information in the field of card-based payment systems, related technologies, and required reading ...

Card-Forum

Card-Forum

Card-Forum ist das marktführende Magazin im Themenbereich der kartengestützten Systeme für Zahlung und Identifikation, Telekommunikation und Kundenbindung sowie der damit verwandten und ...

care konkret

care konkret

care konkret ist die Wochenzeitung für Entscheider in der Pflege. Ambulant wie stationär. Sie fasst topaktuelle Informationen und Hintergründe aus der Pflegebranche kompakt und kompetent für Sie ...

Computerwoche

Computerwoche

Die COMPUTERWOCHE berichtet schnell und detailliert über alle Belange der Informations- und Kommunikationstechnik in Unternehmen – über Trends, neue Technologien, Produkte und Märkte. IT-Manager ...

Der Steuerzahler

Der Steuerzahler

Der Steuerzahler ist das monatliche Wirtschafts- und Mitgliedermagazin des Bundes der Steuerzahler und erreicht mit fast 230.000 Abonnenten einen weitesten Leserkreis von 1 ...

Deutsche Hockey Zeitung

Deutsche Hockey Zeitung

Informiert über das nationale und internationale Hockey. Die Deutsche Hockeyzeitung ist Ihr kompetenter Partner für Ihren Auftritt im Hockeymarkt. Sie ist die einzige bundesweite Hockeyzeitung ...

DGIP-intern

DGIP-intern

Mitteilungen der Deutschen Gesellschaft für Individualpsychologie e.V. (DGIP) für ihre Mitglieder Die Mitglieder der DGIP erhalten viermal jährlich das Mitteilungsblatt „DGIP-intern“ ...

VideoMarkt

VideoMarkt

VideoMarkt – besser unterhalten. VideoMarkt deckt die gesamte Videobranche ab: Videoverkauf, Videoverleih und digitale Distribution. Das komplette Serviceangebot von VideoMarkt unterstützt die ...