Sie sind hier
E-Book

Intrusion Detection effektiv!

Modellierung und Analyse von Angriffsmustern

AutorMichael Meier
VerlagSpringer-Verlag
Erscheinungsjahr2007
Seitenanzahl209 Seiten
ISBN9783540482581
FormatPDF
KopierschutzDRM
GerätePC/MAC/eReader/Tablet
Preis22,99 EUR

Intrusion-Detection-Systeme werden zum Schutz vor Angriffen von IT-Systemen eingesetzt. Sie erkennen Missbrauch, indem sie Systemereignisse mit bekannten Angriffsmustern vergleichen. Der praktische Einsatz dieser Systeme ist häufig von Fehlalarmen geprägt. Die Ursache liegt in unzureichenden Angriffsmustern. Der Autor stellt hier Ansätze zur Steigerung der Wirksamkeit von Missbrauchserkennung im praktischen Einsatz vor. Systematisch untersucht er Anforderungen an die Repräsentation von Angriffsmustern. Er entwickelt einen an Petri-Netze angelehnten Ansatz zur grafischen Modellierung, Veranschaulichung und Erkennung von Angriffsmustern.



Michael Meier studierte von 1993 bis 1998 Informatik an der BTU Cottbus. Nach seinem Studium war er als wissenschaftlicher Mitarbeiter am Lehrstuhl Rechnernetze und Kommunikationssysteme der BTU Cottbus tätig. Seit 2006 ist Michael Meier als wissenschaftlicher Angestellter an Universität Dortmund beschäftigt. Seine Forschungstätigkeit konzentriert sich auf den Bereich der Netzwerksicherheit, insbesondere Intrusion Detection. Michael Meier ist Gründungsmitglied der Leitungsgremiums der GI-Fachgruppe SIDAR (Security Intrusion Detection and Response) sowie Vorsitzender des Steuerungskomitees der internationalen Tagung DIMVA (Detection of Intrusions and Malware and Vulnerability Assessment).

Kaufen Sie hier:

Horizontale Tabs

Leseprobe

5 Semantische Aspekte von Angriffssignaturen (S. 41-42)

Zur Modellierung und Beschreibung von Angriffssignaturen wurden verschiedene Ansätze in der Literatur vorgeschlagen und realisiert. Diese unterscheiden sich hinsichtlich der adressierten Aspekte von Signaturen teilweise deutlich voneinander. Das hat eine sehr unterschiedliche und begrenzte Ausdrucksstärke der jeweiligen Beschreibungsmittel zur Folge, so dass diese Methoden lediglich für eine eingeschränkte Menge von Signaturen geeignet sind. Bevor wir in folgenden Kapiteln die Modellierung und Beschreibung von Signaturen diskutieren, führen wir in diesem Kapitel ein Modell für die Semantik von Signaturen ein.

Das Modell stellt systematisch die Aspekte von Signaturen dar, die in einer Beschreibung charakterisiert werden müssen, um eine adäquate Erkennung von Situationen, die Sicherheitsverletzung darstellen, zu ermöglichen. Es definiert Anforderungen an Methoden zur Modellierung und Beschreibung von Signaturen. Das Kennzeichnen und Identifizieren von relevanten Situationen erfolgt typischerweise durch die Beschreibung eines entsprechenden Ereignisses. Ereignisbeschreibungen enthalten Informationen über die Umstände, die das Ereignis auslösen, und die Auswirkungen auf weitere Ereignisse. Die Charakterisierung von Ereignissen ist in verschiedenen Bereichen der Informationsverarbeitung von Bedeutung. Im Zusammenhang mit dem von uns betrachteten Problemfeld kann insbesondere auf Erkenntnisse aus der Theorie aktiver Datenbanken zurückgegriffen werden.

Aktive Datenbanken erweitern klassische Datenbankmanagementsysteme (DBMS) um aktive Komponenten zur Reaktion auf spezifizierte Ereignisse. In der Theorie aktiver Datenbankmanagementsysteme existieren Modelle zur Charakterisierung von Ereignissen [Zim+99], die auf den Problembereich der Signaturbeschreibung angepasst werden können [Mei04a]. Wir stellen zunächst das Konzept aktiver Datenbanken kurz vor und arbeiten Unterschiede zu Signaturanalysesystemen heraus. Davon ausgehend wird ein Modell für die Semantik von Signaturen entwickelt und die verschiedenen semantischen Aspekte werden anhand von Beispielen diskutiert.

5.1 Aktive Datenbanksysteme

Konventionelle Datenbanksysteme sind passive Systeme. Sie führen Anfragen oder Transaktionen nur auf Veranlassung von außen, z. B. durch den Benutzer oder eine Anwendung, durch. In bestimmten Situationen kann es jedoch wünschenswert sein, auf spezielle Datenbankzustände automatisch reagieren zu können. Zu diesem Zweck wurden aktive Datenbanksysteme entwickelt, die beispielsweise automatisch Integritätsbedingungen durchsetzen, abgeleitete Daten berechnen oder verteilte Berechnungen koordinieren [Pa+99].

5.1.1 Ereignisse in aktiven Datenbanken

Aktive Datenbanken verwenden aktive Regeln, so genannte Event-Condition- Action-Regeln (ECA-Regeln) [Pa98], um Situationen zu beschreiben und im Falle ihres Eintretens darauf zu reagieren. Eine ECA-Regel besitzt folgende Form:

on event
if condition
do action

Die Bedingungen einer ECA-Regel werden nach dem Eintreten des Ereignisses überprüft. Sind sie erfüllt, so wird die Aktion der Regel ausgeführt. Auslösende Ereignisse sind typischerweise Datenmanipulationsoperationen, wie das Einfügen oder Aktualisieren eines Elements. Komplexe Ereignisse, die Kombinationen von Ereignissen darstellen, können unter Verwendung von Operatoren der Ereignisalgebra einer Ereignisbeschreibungssprache spezifiziert werden.

In der Literatur wurden eine Reihe von Ereignissprachen für aktive Datenbanksysteme vorgeschlagen. Beispiele sind HiPAC [Da+96], NAOS [Co+96], SNOOP [Ch+94] und ACOOD [Be91]. Diese unterscheiden sich teilweise stark in der umgesetzten Ereignissemantik und besitzen dadurch unterschiedliche Mächtigkeiten. Zimmer [Zim98] untersuchte existierende Ereignissprachen für aktive Datenbanken und entwickelte ein Meta-Modell für die Semantik von Ereignissen in aktiven Datenbanken, das systematisch die verschiedenen Aspekte von Ereignissen in aktiven Datenbanken darstellt.

Inhaltsverzeichnis
Vorwort7
Inhaltsverzeichnis9
Abkürzungsverzeichnis12
1 Einleitung14
2 IT-Sicherheit und Intrusion Detection18
2.1 IT-Sicherheit18
2.2 Sicherheitsmechanismen20
2.3 Intrusion-Detection-Systeme22
2.3.1 Ereigniskomponenten und Audit22
2.3.2 Analyse- und Datenbankkomponenten25
2.3.3 Reaktionskomponenten31
2.4 Fazit32
3 Missbrauchserkennung34
3.1 Systemmodell und Informationsarten35
3.2 Aktuelle Herausforderungen38
3.2.1 Fehlalarme39
3.2.2 Effiziente Erkennung40
3.2.3 Fazit41
4 Beispiele42
4.1 Beispielumgebung Solaris42
4.1.1 Schwachstellen42
4.1.2 Audit-Funktion44
4.2 Beispielattacken45
4.2.1 Login-Attacke46
4.2.2 PATH-Attacke48
4.2.3 Link-Attacke50
4.2.4 Nebenläufige Link-Attacke52
5 Semantische Aspekte von Angriffssignaturen54
5.1 Aktive Datenbanksysteme55
5.1.1 Ereignisse in aktiven Datenbanken55
5.1.2 Unterschiede zum Signaturkonzept56
5.2 Ereignisse – Begriffseinführung57
5.3 Dimensionen der Semantik von Signaturen62
5.4 Ereignismuster64
5.4.1 Typ und Reihenfolge65
5.4.2 Häufigkeit66
5.4.3 Kontinuität69
5.4.4 Nebenläufigkeit69
5.4.5 Kontextbedingungen70
5.5 Selektion der Schrittinstanzen70
5.6 Konsum von Schrittinstanzen72
5.6.1 Aktionsfolgen und Aktionssemantik73
5.6.2 Auswahl von Schrittkombinationen73
5.6.3 Schrittkombinationen75
5.7 Zusammenfassung78
6 Modell für Angriffssignaturen80
6.1 Signaturnetze – Das allgemeine Modell80
6.2 Modellierungselemente im Detail82
6.2.1 Plätze82
6.2.2 Transitionen83
6.2.3 Kanten85
6.2.4 Token85
6.2.5 Schaltregel88
6.2.6 Charakteristische Netztopologien93
6.3 Eine Beispielsimulation99
6.4 Formale Definition eines Signaturnetzes102
6.5 Ausdrucksstärke111
6.5.1 Ereignismuster111
6.5.2 Instanzselektion119
6.5.3 Instanzkonsum119
6.6 Verwandte Ansätze121
6.6.1 Automatenbasierte Signaturmodellierung121
6.6.2 Graphenbasierte Signaturmodellierung123
6.6.3 Netzbasierte Signaturmodellierung123
6.7 Zusammenfassung124
7 Beschreibung von Angriffssignaturen126
7.1 Signaturentwicklung126
7.2 Regelbasierte Signaturbeschreibung128
7.2.1 Expertensysteme129
7.2.2 Expertensystembasierte Missbrauchserkennung130
7.2.3 Probleme expertensystembasierter Missbrauchs-erkennung132
7.2.4 Regelbasierte Signaturbeschreibung136
7.3 SHEDEL – Eine einfache ereignisbasierte Beschreibungssprache136
7.3.1 Beschreibungselemente von SHEDEL137
7.3.2 Beispiele140
7.3.3 Diskussion144
7.4 EDL145
7.4.1 Basiskonzepte145
7.4.2 Beispiel152
7.4.3 Diskussion154
7.5 Alternative Beschreibungszugänge155
7.6 Zusammenfassung157
8 Analyseverfahren160
8.1 Stand der Technik161
8.1.1 Abbildung in separate Programm-Module161
8.1.2 Expertensystembasierte Analysen164
8.2 Optimierungsstrategien172
8.2.1 Strategie 1: Ereignistypbasierte Transitionsindizierung172
8.2.2 Strategie 2: Tokenunabhängige Prüfung von Intra-Ereignis-Bedingungen173
8.2.3 Strategie 3: Wertebasierte Tokenindizierung174
8.2.4 Strategie 4: Gemeinsame Ausdrücke177
8.2.5 Strategie 5: Kostenbasierte Bedingungspriorisierung178
8.2.6 Diskussion179
8.3 Das Analysewerkzeug SAM181
8.4 Experimentelle Evaluierung183
8.4.1 Testszenario184
8.4.2 Vorgehensweise und Messumgebungen189
8.4.3 Messergebnisse und Diskussion190
8.5 Zusammenfassung195
9 Zusammenfassung und Ausblick198
10 Anhang200
10.1 Signatur der nebenläufigen Link-Attacke in EDL200
Index206
Literatur210

Weitere E-Books zum Thema: Sicherheit - IT Security

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Security@Work

E-Book Security@Work
Pragmatische Konzeption und Implementierung von IT-Sicherheit mit Lösungsbeispielen auf Open-Source-Basis Format: PDF

Die Autoren erläutern die konzeptionellen und technischen Grundlagen des Themas IT-Sicherheit anhand anschaulicher Beispiele. Im Fokus stehen dabei die praktische Verwendbarkeit realitätsnaher…

Security@Work

E-Book Security@Work
Pragmatische Konzeption und Implementierung von IT-Sicherheit mit Lösungsbeispielen auf Open-Source-Basis Format: PDF

Die Autoren erläutern die konzeptionellen und technischen Grundlagen des Themas IT-Sicherheit anhand anschaulicher Beispiele. Im Fokus stehen dabei die praktische Verwendbarkeit realitätsnaher…

Weitere Zeitschriften

Atalanta

Atalanta

Atalanta ist die Zeitschrift der Deutschen Forschungszentrale für Schmetterlingswanderung. Im Atalanta-Magazin werden Themen behandelt wie Wanderfalterforschung, Systematik, Taxonomie und Ökologie. ...

BEHINDERTEPÄDAGOGIK

BEHINDERTEPÄDAGOGIK

Für diese Fachzeitschrift arbeiten namhafte Persönlichkeiten aus den verschiedenen Fotschungs-, Lehr- und Praxisbereichen zusammen. Zu ihren Aufgaben gehören Prävention, Früherkennung, ...

BIELEFELD GEHT AUS

BIELEFELD GEHT AUS

Freizeit- und Gastronomieführer mit umfangreichem Serviceteil, mehr als 700 Tipps und Adressen für Tag- und Nachtschwärmer Bielefeld genießen Westfälisch und weltoffen – das zeichnet nicht ...

cards Karten cartes

cards Karten cartes

Die führende Zeitschrift für Zahlungsverkehr und Payments – international und branchenübergreifend, erscheint seit 1990 monatlich (viermal als Fachmagazin, achtmal als ...

Deutsche Tennis Zeitung

Deutsche Tennis Zeitung

Die DTZ – Deutsche Tennis Zeitung bietet Informationen aus allen Bereichen der deutschen Tennisszene –sie präsentiert sportliche Highlights, analysiert Entwicklungen und erläutert ...

rfe-Elektrohändler

rfe-Elektrohändler

rfe-Elektrohändler ist die Fachzeitschrift für die CE- und Hausgeräte-Branche. Wichtige Themen sind: Aktuelle Entwicklungen in beiden Branchen, Waren- und Verkaufskunde, Reportagen über ...

building & automation

building & automation

Das Fachmagazin building & automation bietet dem Elektrohandwerker und Elektroplaner eine umfassende Übersicht über alle Produktneuheiten aus der Gebäudeautomation, der Installationstechnik, dem ...

elektrobörse handel

elektrobörse handel

elektrobörse handel gibt einen facettenreichen Überblick über den Elektrogerätemarkt: Produktneuheiten und -trends, Branchennachrichten, Interviews, Messeberichte uvm.. In den monatlichen ...

filmdienst#de

filmdienst#de

filmdienst.de führt die Tradition der 1947 gegründeten Zeitschrift FILMDIENST im digitalen Zeitalter fort. Wir begleiten seit 1947 Filme in allen ihren Ausprägungen und Erscheinungsformen.  ...