Intrusion Detection effektiv! (eBook)

Michael Meier studierte von 1993 bis 1998 Informatik an der BTU Cottbus. Nach seinem Studium war er als wissenschaftlicher Mitarbeiter am Lehrstuhl Rechnernetze und Kommunikationssysteme der BTU Cottbus tätig. Seit 2006 ist Michael Meier als wissenschaftlicher Angestellter an Universität Dortmund beschäftigt. Seine Forschungstätigkeit konzentriert sich auf den Bereich der Netzwerksicherheit, insbesondere Intrusion Detection. Michael Meier ist Gründungsmitglied der Leitungsgremiums der GI-Fachgruppe SIDAR (Security Intrusion Detection and Response) sowie Vorsitzender des Steuerungskomitees der internationalen Tagung DIMVA (Detection of Intrusions and Malware and Vulnerability Assessment).

Vorwort 7
Inhaltsverzeichnis 9
Abkürzungsverzeichnis 12
1 Einleitung 14
2 IT-Sicherheit und Intrusion Detection 18
2.1 IT-Sicherheit 18
2.2 Sicherheitsmechanismen 20
2.3 Intrusion-Detection-Systeme 22
2.3.1 Ereigniskomponenten und Audit 22
2.3.2 Analyse- und Datenbankkomponenten 25
2.3.3 Reaktionskomponenten 31
2.4 Fazit 32
3 Missbrauchserkennung 34
3.1 Systemmodell und Informationsarten 35
3.2 Aktuelle Herausforderungen 38
3.2.1 Fehlalarme 39
3.2.2 Effiziente Erkennung 40
3.2.3 Fazit 41
4 Beispiele 42
4.1 Beispielumgebung Solaris 42
4.1.1 Schwachstellen 42
4.1.2 Audit-Funktion 44
4.2 Beispielattacken 45
4.2.1 Login-Attacke 46
4.2.2 PATH-Attacke 48
4.2.3 Link-Attacke 50
4.2.4 Nebenläufige Link-Attacke 52
5 Semantische Aspekte von Angriffssignaturen 54
5.1 Aktive Datenbanksysteme 55
5.1.1 Ereignisse in aktiven Datenbanken 55
5.1.2 Unterschiede zum Signaturkonzept 56
5.2 Ereignisse – Begriffseinführung 57
5.3 Dimensionen der Semantik von Signaturen 62
5.4 Ereignismuster 64
5.4.1 Typ und Reihenfolge 65
5.4.2 Häufigkeit 66
5.4.3 Kontinuität 69
5.4.4 Nebenläufigkeit 69
5.4.5 Kontextbedingungen 70
5.5 Selektion der Schrittinstanzen 70
5.6 Konsum von Schrittinstanzen 72
5.6.1 Aktionsfolgen und Aktionssemantik 73
5.6.2 Auswahl von Schrittkombinationen 73
5.6.3 Schrittkombinationen 75
5.7 Zusammenfassung 78
6 Modell für Angriffssignaturen 80
6.1 Signaturnetze – Das allgemeine Modell 80
6.2 Modellierungselemente im Detail 82
6.2.1 Plätze 82
6.2.2 Transitionen 83
6.2.3 Kanten 85
6.2.4 Token 85
6.2.5 Schaltregel 88
6.2.6 Charakteristische Netztopologien 93
6.3 Eine Beispielsimulation 99
6.4 Formale Definition eines Signaturnetzes 102
6.5 Ausdrucksstärke 111
6.5.1 Ereignismuster 111
6.5.2 Instanzselektion 119
6.5.3 Instanzkonsum 119
6.6 Verwandte Ansätze 121
6.6.1 Automatenbasierte Signaturmodellierung 121
6.6.2 Graphenbasierte Signaturmodellierung 123
6.6.3 Netzbasierte Signaturmodellierung 123
6.7 Zusammenfassung 124
7 Beschreibung von Angriffssignaturen 126
7.1 Signaturentwicklung 126
7.2 Regelbasierte Signaturbeschreibung 128
7.2.1 Expertensysteme 129
7.2.2 Expertensystembasierte Missbrauchserkennung 130
7.2.3 Probleme expertensystembasierter Missbrauchs-erkennung 132
7.2.4 Regelbasierte Signaturbeschreibung 136
7.3 SHEDEL – Eine einfache ereignisbasierte Beschreibungssprache 136
7.3.1 Beschreibungselemente von SHEDEL 137
7.3.2 Beispiele 140
7.3.3 Diskussion 144
7.4 EDL 145
7.4.1 Basiskonzepte 145
7.4.2 Beispiel 152
7.4.3 Diskussion 154
7.5 Alternative Beschreibungszugänge 155
7.6 Zusammenfassung 157
8 Analyseverfahren 160
8.1 Stand der Technik 161
8.1.1 Abbildung in separate Programm-Module 161
8.1.2 Expertensystembasierte Analysen 164
8.2 Optimierungsstrategien 172
8.2.1 Strategie 1: Ereignistypbasierte Transitionsindizierung 172
8.2.2 Strategie 2: Tokenunabhängige Prüfung von Intra-Ereignis-Bedingungen 173
8.2.3 Strategie 3: Wertebasierte Tokenindizierung 174
8.2.4 Strategie 4: Gemeinsame Ausdrücke 177
8.2.5 Strategie 5: Kostenbasierte Bedingungspriorisierung 178
8.2.6 Diskussion 179
8.3 Das Analysewerkzeug SAM 181
8.4 Experimentelle Evaluierung 183
8.4.1 Testszenario 184
8.4.2 Vorgehensweise und Messumgebungen 189
8.4.3 Messergebnisse und Diskussion 190
8.5 Zusammenfassung 195
9 Zusammenfassung und Ausblick 198
10 Anhang 200
10.1 Signatur der nebenläufigen Link-Attacke in EDL 200
Index 206
Literatur 210

5 Semantische Aspekte von Angriffssignaturen (S. 41-42)

Zur Modellierung und Beschreibung von Angriffssignaturen wurden verschiedene Ansätze in der Literatur vorgeschlagen und realisiert. Diese unterscheiden sich hinsichtlich der adressierten Aspekte von Signaturen teilweise deutlich voneinander. Das hat eine sehr unterschiedliche und begrenzte Ausdrucksstärke der jeweiligen Beschreibungsmittel zur Folge, so dass diese Methoden lediglich für eine eingeschränkte Menge von Signaturen geeignet sind. Bevor wir in folgenden Kapiteln die Modellierung und Beschreibung von Signaturen diskutieren, führen wir in diesem Kapitel ein Modell für die Semantik von Signaturen ein.

Das Modell stellt systematisch die Aspekte von Signaturen dar, die in einer Beschreibung charakterisiert werden müssen, um eine adäquate Erkennung von Situationen, die Sicherheitsverletzung darstellen, zu ermöglichen. Es definiert Anforderungen an Methoden zur Modellierung und Beschreibung von Signaturen. Das Kennzeichnen und Identifizieren von relevanten Situationen erfolgt typischerweise durch die Beschreibung eines entsprechenden Ereignisses. Ereignisbeschreibungen enthalten Informationen über die Umstände, die das Ereignis auslösen, und die Auswirkungen auf weitere Ereignisse. Die Charakterisierung von Ereignissen ist in verschiedenen Bereichen der Informationsverarbeitung von Bedeutung. Im Zusammenhang mit dem von uns betrachteten Problemfeld kann insbesondere auf Erkenntnisse aus der Theorie aktiver Datenbanken zurückgegriffen werden.

Aktive Datenbanken erweitern klassische Datenbankmanagementsysteme (DBMS) um aktive Komponenten zur Reaktion auf spezifizierte Ereignisse. In der Theorie aktiver Datenbankmanagementsysteme existieren Modelle zur Charakterisierung von Ereignissen [Zim+99], die auf den Problembereich der Signaturbeschreibung angepasst werden können [Mei04a]. Wir stellen zunächst das Konzept aktiver Datenbanken kurz vor und arbeiten Unterschiede zu Signaturanalysesystemen heraus. Davon ausgehend wird ein Modell für die Semantik von Signaturen entwickelt und die verschiedenen semantischen Aspekte werden anhand von Beispielen diskutiert.

5.1 Aktive Datenbanksysteme

Konventionelle Datenbanksysteme sind passive Systeme. Sie führen Anfragen oder Transaktionen nur auf Veranlassung von außen, z. B. durch den Benutzer oder eine Anwendung, durch. In bestimmten Situationen kann es jedoch wünschenswert sein, auf spezielle Datenbankzustände automatisch reagieren zu können. Zu diesem Zweck wurden aktive Datenbanksysteme entwickelt, die beispielsweise automatisch Integritätsbedingungen durchsetzen, abgeleitete Daten berechnen oder verteilte Berechnungen koordinieren [Pa+99].

5.1.1 Ereignisse in aktiven Datenbanken

Aktive Datenbanken verwenden aktive Regeln, so genannte Event-Condition- Action-Regeln (ECA-Regeln) [Pa98], um Situationen zu beschreiben und im Falle ihres Eintretens darauf zu reagieren. Eine ECA-Regel besitzt folgende Form:

on event
if condition
do action

Die Bedingungen einer ECA-Regel werden nach dem Eintreten des Ereignisses überprüft. Sind sie erfüllt, so wird die Aktion der Regel ausgeführt. Auslösende Ereignisse sind typischerweise Datenmanipulationsoperationen, wie das Einfügen oder Aktualisieren eines Elements. Komplexe Ereignisse, die Kombinationen von Ereignissen darstellen, können unter Verwendung von Operatoren der Ereignisalgebra einer Ereignisbeschreibungssprache spezifiziert werden.

In der Literatur wurden eine Reihe von Ereignissprachen für aktive Datenbanksysteme vorgeschlagen. Beispiele sind HiPAC [Da+96], NAOS [Co+96], SNOOP [Ch+94] und ACOOD [Be91]. Diese unterscheiden sich teilweise stark in der umgesetzten Ereignissemantik und besitzen dadurch unterschiedliche Mächtigkeiten. Zimmer [Zim98] untersuchte existierende Ereignissprachen für aktive Datenbanken und entwickelte ein Meta-Modell für die Semantik von Ereignissen in aktiven Datenbanken, das systematisch die verschiedenen Aspekte von Ereignissen in aktiven Datenbanken darstellt.