Verteilte Erkennung von Cyber-Attacken mittels intelligentem kollaborativen IDS

(VERCA)

 

Die schon heute komplexeren Malware-Varianten, groß angelegte Distributed-Denial-of-Service-Angriffe (DDoS) oder die gemeldeten Zwischenfälle ausgelöst von Advanced-Persistent-Threats (APT) sind besorgniserregend und nehmen von Jahr zu Jahr ein neues Ausmaß an.
Um dieser steigenden Bedrohung entgegenzuwirken haben sich verschiedene Ansätze anomalie-basierter Intrusion Detection Systeme (IDS) unterschiedlicher Hersteller trotz ihrer hohen Falsch-Positiv-Rate als bewährtes Mittel zur Erkennung vor allem unbekannter Attacken (Zero-Day-Attacks) etabliert. Sie gehen davon aus, zunächst das Normalverhalten der zugrundeliegenden Infrastruktur modellieren zu können, um dann anschließend ein abweichendes Verhalten als Eindringversuch bzw. Angriff (Anomalie) effektiv zu detektieren.

In stark verteilten und heterogenen IT-Infrastrukturen, wie sie typischerweise in großen Organisationen und Unternehmen vorliegen, ist die Einführung eines solchen IDS allerdings kritisch zu bewerten. Gerade die Kombination von Software und Hardware gepaart mit divergenten Benutzerverhalten an unterschiedlichen Standorten haben zur Folge, dass ein zentrales IDS den komplexen Normalzustand des Gesamtsystems nicht erfassen kann. Für einen ganzheitlichen Schutz ist diese globale Sicht jedoch unumgänglich. In den letzten Jahren wurden daher verteilte und kollaborierende IDSs entwickelt, die Informationen von verschiedenen Infrastrukturen sammeln sowie auswerten, und so versuchen, eine etwas globalere Sicht auf hochgradig verteilte Angriffsszenarien erlangen zu können.

Aufgrund ihrer losen Kopplung überwinden Collaborative IDS (CIDS) die lokalen Einschränkungen, indem sie relevante Daten untereinander austauschen und so eine deutlich erweiterte Sichtweise als herkömmliche IDS in verteilten Infrastrukturen erwirken. Existente Ansätze bzw. Frameworks zeigen jedoch deutliche Schwächen.
Unsere Recherchen haben ergeben, dass viele dieser Systeme nur für die Detektion bestimmter klassischer Angriffstypen (z.B. Einbringen von Würmern oder Verletzung der Zugriffskontrolle) konzipiert sind (unter Verwendung sehr eingeschränkter Alert-Korrelationstechniken), die Mehrheit nicht resilient gegenüber Attacken auf die eigene Infrastruktur ist sowie massiv sensible Daten nur wenig geschützt ausgetauscht und daher Datenschutzrichtlinien oft bei der Verbesserung der Angriffserkennung vernachlässigt werden.
Gerade die Beantwortung dieser und weiterer Forschungsfragen sind aber insbesondere im Kontext des Internet-of-Things (IoT) von herausragender Bedeutung (vgl. auch Umsetzungsstrategie Industrie 4.0).

In diesem Zusammenhang haben wir das neue Forschungsprojekt VERCA initiiert, welches die genannten Nachteile existenter verteilter IDS überwindet und einen ganzheitlichen Lösungsansatz bietet. In unserem vorherigen Forschungsprojekt IntErA haben wir bereits wichtige Basiskonzepte wie die Erkennung von Angriffen auf Basis von IPFIX-Daten oder die automatisierte Erzeugung von Zero-Day-Signaturen erarbeitet, welche in die Entwicklung des Prototyps von VERCA einfließen werden.

Kernideen und Herausforderungen

Im Forschungsprojekt VERCA soll ein intelligentes CIDS mit hoher Erkennungsrate bekannter und unbekannter Angriffe und Parallelisierungsmöglichkeiten entwickelt werden, das aktuelle Anforderungen an einen effektiven Schutz gegenüber komplexen Angriffen (wie DDoS und APT) auf IT- und Netzinfrastrukturen erfüllt. Insbesondere müssen dafür folgende Kernprobleme untersucht werden:

  • Entwicklung von Ansätzen zur Detektion moderner hochgradig verteilter Angriffe, wobei anomalie-basierte und signatur-basierte Modelle in Form eines hybriden Ansatzes kombiniert werden
  • Bestimmung einer effektiven dynamischen Kommunikationsarchitektur des CIDS (zentralisiert, hierarchisch, vollständig verteilt oder Kombinationen davon, ggf. auf Grundlage verteilter Peer-to-Peer-Algorithmen)
  • Entwicklung effizienter Verteilungs- und Korrelations-Mechanismen, sodass ausgetauschte Alert-Informationen verschiedener IT-Infrastrukturen zu einer effektiveren lokalen Anomalie-Detektion führen und somit verteilte Angriffsszenarien durch eine globale Sichtweise frühzeitig erkennbar sind (Granularität der Informationen, globales Monitoring)
  • Kollektiver Austausch von sicherheitskritischen Informationen und Lösung auftretender Modellkonflikte zwischen Systemkomponenten (u.a. bei Signaturabgleich und Mehrheitsentscheid)
  • Kategorisierung auftretender Alarme und Ableitung geeigneter Präventionsmaßnahmen zum Schutz vor wiederkehrenden Angriffen
  • Absicherung des Gesamtsystems vor externen und internen Kompromittierungsversuchen: als IT-System muss ein CIDS selbst gegenüber Angriffen gehärtet werden (Resilient CIDS), sodass Konzepte für globale Sicherheitslösungen wie Vertraulichkeit und Integrität ausgetauschter Informationen, aber auch Zugriffskontrollmechanismen und System-Verfügbarkeit untersucht sowie Lösungsansätze entwickelt und implementiert werden müssen
  • Entwicklung neuer Methoden zur Bewahrung von lokalen und globalen Datenschutzrichtlinien beim Austausch sensibler Daten für das Gesamtsystem
  • Entwicklung eines Visualisierungskonzepts mit isolierten Sichten für die beteiligten Parteien
  • Weiterentwicklung geeigneter Netz-Management- und -Monitoring-Lösungen (vgl. SDN/NFV, Streaming Telemetry) für eine frühzeitige Erkennung und Eingrenzung von Anomalien im Netz-Traffic sowie der Unterstützung proaktiver Abwehrverfahren
  • Verlagerung der Erkennungs- und Korrelationsmechanismen in Richtung einer programmierbaren Control/Date Plane des verwendeten Netzes (vgl. In-Network Attack Detection, In-band Telemetry)
  • Enge Verzahnung der CIDS-Komponenten mit Netz- und Cloud-Infrastruktur-Plattformen als Basis für eine dynamische und adaptive Erkennung verteilter Angriffe und Verringerung der False-Positive-Rate durch die Einbeziehung von Management-, Discovery- und Logging-Daten der überwachten Infrastruktur.
  • Einbeziehung von Machine-Learning-Verfahren zur Auswertung feingranularer und hochauflösender Management- und Streaming-Logging-Daten (vgl. Cognitive Management, Network Automation)
  • Prototypische Implementierung eines skalierbaren CIDS für massiv verteilte IT-Infrastrukturen

Kooperationspartner

Radar Cyber Security

Harald Reisinger RadarServices Smart IT-Security GmbH, Wien (Österreich)

Intelligent Embedded Systems

Prof. Dr. Bernhard Sick, Universität Kassel

Projektteam

Projektleitung

Prof. Dr.

Ulrich Bühler

Angewandte Mathematik, Kryptografie, IT-Sicherheit

+49 661 9640-325 Gebäude 46, Raum325
Prof. Dr. Ulrich Bühler +49 661 9640-325
Sprechzeiten
In der vorlesungsfreien Zeit nach Vereinbarung oder nach Aushang in moodle.

Projektbeteiligter

Prof. Dr.

Sebastian Rieger

Multimediale Kommunikationsnetze

+49 661 9640-3033 Gebäude 46, Raum126
Prof. Dr. Sebastian Rieger +49 661 9640-3033
Sprechzeiten
In der vorlesungsfreien Zeit nach Vereinbarung oder nach Aushang in moodle.

Kontakt

Ulrich Bühler

Prof. Dr.

Ulrich Bühler

Angewandte Mathematik, Kryptografie, IT-Sicherheit

Kontakt

Prof. Dr.

Ulrich Bühler

Angewandte Mathematik, Kryptografie, IT-Sicherheit

+49 661 9640-325
+49 661 9640-349
Gebäude 46, Raum 325
Sprechzeiten
In der vorlesungsfreien Zeit nach Vereinbarung oder nach Aushang in...
Profil

Kontakt

Sebastian Rieger

Prof. Dr.

Sebastian Rieger

Multimediale Kommunikationsnetze

Kontakt

Prof. Dr.

Sebastian Rieger

Multimediale Kommunikationsnetze

+49 661 9640-3033
+49 661 9640-349
Gebäude 46, Raum 126
Sprechzeiten
In der vorlesungsfreien Zeit nach Vereinbarung oder nach Aushang in...
Profil

Projektinformation

Schlagworte:
IT-Sicherheit, Netzwerksicherheit, Kollaborative Intrusion Detection Systeme, Cloud-Infrastruktur, Big Data, Daten-Aggregation und -Korrelation, Informations- und Wissensaustausch

Förderung:
Bundesministerium für Bildung und Forschung (BMBF)

Projektlaufzeit:
15.04.2019 - 14.04.2022