In der heutigen digitalen Welt dienen Computer als Ablage für alle relevanten und sensiblen Firmeninformationen. Der Geschäftserfolg und der Erhalt des Wettbewerbsvorteils eines Unternehmens hängen somit maßgeblich von dem Schutz dieser Informationen vor unberechtigten Zugriffen ab. Aktuelle Meldungen (Martin-Jung 2008; Riedl 2008) zeigen, dass die Gefahr von Angriffen auf Computer und Netzwerke mit wachsendem Wettbewerbsdruck immer größer wird. Eine Schutzmöglichkeit sind Intrusion Detection Systeme.
Bisherige Arbeiten zu Intrusion Detection Systemen beschreiben hauptsächlich die Funktionsweisen der verschiedenen Systeme mit den jeweiligen Vor- und Nachteilen. Wenige Artikel beschäftigen sich mit der Leistungsfähigkeit von IDS allgemein und der Erkennungswahrscheinlichkeit im Speziellen. Die Arbeit von Lippmann et al. (2000b) liefert die aktuellsten Aussagen dazu. Studien zum Verhalten der Erkennungswahrscheinlichkeit bei wiederholter Ausführung derselben Attacke existieren nicht. Diese Lücke im theoretischen Konzept zu Intrusion Detection wird durch die vorliegende Arbeit geschlossen. Ergebnis ist eine allgemeine
Aussage über die Wahrscheinlichkeitsverteilung der Angriffserkennung mit zunehmender Angriffsintensität als Grundlage für die Modellierung des Angreiferverhaltens.
Im zweiten Kapitel der vorliegenden Arbeit erfolgt zunächst die Definition der grundlegenden Begriffe zur Thematik Intrusion Detection, um ein einheitliches Begriffsverständnis zu schaffen. Anschließend wird im dritten Kapitel die Forschungsfrage, d.h. die Motivation zu dieser Arbeit, erörtert. Das vierte Kapitel beinhaltet eine Zusammenfassung der bisherigen Literatur zu Intrusion Detection Systemen und untersucht diese im Hinblick auf die Forschungsfrage. Zunächst werden allgemein Angriffe auf IT-Systeme charakterisiert. Es folgt eine detaillierte Darstellung der Arten und Methoden von ID-Systemen mit Beschreibungen ausgewählter Funktionsweisen. Daraus abgeleitet werden im fünften Kapitel Szenarien zur Erkennungswahrscheinlichkeit für jede spezielle Methode entwickelt. Die gewonnenen Erkenntnisse fließen dann zu einer allgemeinen Aussage über die Wahrscheinlichkeitsverteilung der Angriffserkennung mit zunehmender Angriffsintensität zusammen. Das sechste Kapitel widmet sich der kritischen Würdigung und diskutiert den Einfluss der getroffenen Annahmen auf das Ergebnis.Den Abschluss bildet eine Zusammenfassung der gewonnenen Erkenntnisse mit einem Ausblick auf zukünftige Arbeiten.
Inhaltsverzeichnis
1 Einleitung
2 Grundbegriffe der IT-Sicherheit
2.1 Die IT-Sicherheit und ihre Ziele
2.2 Der Angriff
2.3 Ein nicht autorisierter Nutzer
2.4 Intrusion Detection und Intrusion Detection Systeme
2.5 Computer und Netzwerke
3 Forschungsfrage
4 Ergebnisse der Literatur
4.1 Angriffe
4.2 Intrusion Detection Systeme
4.2.1 Komponenten von Intrusion Detection Systemen
4.2.1.1 Ereigniskomponente
4.2.1.2 Analyse- und Datenbankkomponente
4.2.1.3 Reaktionskomponente
4.2.2 Arten von Intrusion Detection Systemen
4.2.2.1 Datenquellen
4.2.2.1.1 Hostbasierte Systeme
4.2.2.1.2 Applikationsbasierte Systeme
4.2.2.1.3 Netzwerkbasierte Systeme
4.2.2.2 Analysearten
4.2.2.2.1 Missbrauchserkennung
4.2.2.2.2 Anomalieerkennung
4.2.2.3 Analysezeitpunkt
4.2.2.3.1 Realtime
4.2.2.3.2 Forensic Analysis
4.2.3 Methoden der Analyse
4.2.3.1 Methoden im Rahmen der Missbrauchserkennung
4.2.3.1.1 Signaturanalyse mit Boyer-Moore-Algorithmus
4.2.3.1.2 Regelbasiertes Expertensystem
4.2.3.1.3 State Transition Analysis
4.2.3.2 Methoden im Rahmen der Anomalieerkennung
4.2.3.2.1 Statistische Anomalieerkennung
4.2.3.2.2 Regelbasierte Anomalieerkennung
4.2.3.2.3 Neuronale Netze
4.3 Beantwortung der Forschungsfrage
5 Methoden und ihre Erkennungswahrscheinlichkeit
5.1 Szenarien der Angriffserkennung
5.1.1 Die Anwendung der Missbrauchserkennung
5.1.1.1 Vorüberlegungen zur Missbrauchserkennung
5.1.1.2 Szenario zum Boyer-Moore-Algorithmus
5.1.1.3 Szenario zum regelbasierten Expertensystem
5.1.1.4 Szenario zur State Transition Analysis
5.1.1.5 Zusammenfassung der Erkenntnisse bei der Missbrauchserkennung
5.1.2 Die Anwendung der Anomalieerkennung
5.1.2.1 Vorüberlegungen zur Anomalieerkennung
5.1.2.2 Szenario zur statistischen Anomalieerkennung
5.1.2.3 Szenario zur regelbasierten Anomalieerkennung
5.1.2.4 Szenario zu Neuronalen Netzen
5.1.2.5 Zusammenfassung der Erkenntnisse bei der Anomalieerkennung
5.2 Allgemeiner Verlauf der Erkennungswahrscheinlichkeit
6 Kritische Würdigung
7 Zusammenfassung und Ausblick
Zielsetzung & Themen
Das Hauptziel dieser Diplomarbeit besteht darin, die Wahrscheinlichkeitsverteilung der Angriffserkennung durch Intrusion Detection Systeme (IDS) in Abhängigkeit von der Angriffsintensität zu modellieren. Dabei soll untersucht werden, wie sich das Verhalten eines rational handelnden und finanziell motivierten Angreifers verändert, wenn die Wahrscheinlichkeit der Entdeckung durch wiederholte Ausführung von Attacken beeinflusst wird, um daraus optimale Investitionsstrategien für die IT-Sicherheit abzuleiten.
- Analyse der Funktionsweisen und Methoden von Intrusion Detection Systemen
- Unterscheidung zwischen Missbrauchs- und Anomalieerkennung
- Modellierung des Verlaufs der Erkennungswahrscheinlichkeit bei zunehmender Angriffsintensität
- Untersuchung des Einflusses von Angreiferverhalten und -strategien
- Herleitung einer allgemeinen Wahrscheinlichkeitsverteilung für die IT-Sicherheit
Auszug aus dem Buch
4.2.3.1.1 Signaturanalyse mit Boyer-Moore-Algorithmus
Das Open Source Programm SNORT ist ein netzwerkbasiertes IDS für kleine, nicht übermäßig stark genutzte TCP/IP Netzwerke (Roesch 1999, S. 229). Die Mustererkennung, d.h. der Vergleich der auditierten Systemaktivitäten mit den als gefährlich definierten Signaturen, erfolgt mit dem Boyer-Moore-Algorithmus (Roesch 1999, S. 235).
Im Jahr 1977 veröffentlichten Boyer und Moore ihren schnellen Suchalgorithmus für String-Variablen (Boyer und Moore 1977). Auf ihren Artikel bezieht sich der gesamte Abschnitt. Der von ihnen beschriebene Algorithmus vergleicht die Zeichen eines vorgegebenen Musters mit dem Text des Audit-Records. Der Abgleich erfolgt vom Ende des Musters her von rechts nach links mit dem Text während das Muster von links nach rechts weitergeschoben wird.
Ein Beispiel für diesen Algorithmus als Programmcode in C ist in Anhang A.1 abgebildet. Auf eine vertiefende Erörterung der Implementierung wird im Rahmen dieser Arbeit verzichtet. Für den weiteren Verlauf ist das Verständnis der Funktionsweise des Algorithmus wichtig, auf welches das Szenario in Kapitel 5.1.1.2 aufbauen wird.
Boyer und Moore bezeichnen ihren Algorithmus im Gegensatz zu dem von Knuth, Morris und Pratt (Knuth et al. 1977) als sublinear. Sie beschreiben damit, dass die Anzahl der zu untersuchenden Zeichen in den Audit-Records sinkt, wenn die Zeichenlänge des Musters, d.h. der Signatur steigt. Der Effekt begründet sich darauf, dass der Vergleich von rechts nach links mehr Informationen bringt. Die tatsächliche Anzahl hängt von den statistischen Eigenschaften der Zeichen ab, die in der Signatur und dem Text der Audit-Records vorkommen. Generell gilt jedoch, dass der Boyer-Moore-Algorithmus mit zunehmender Signaturlänge schneller wird. (Boyer und Moore 1977, S. 762)
Zusammenfassung der Kapitel
1 Einleitung: Diese Einleitung führt in die Thematik der Intrusion Detection ein, definiert das Ziel der Modellierung des Angreiferverhaltens und beschreibt den Aufbau der Arbeit.
2 Grundbegriffe der IT-Sicherheit: In diesem Kapitel werden grundlegende Konzepte wie IT-Sicherheitsziele, der Begriff des Angriffs, Arten von Angreifern sowie die Aufgaben von Intrusion Detection Systemen definiert.
3 Forschungsfrage: Das Kapitel erörtert die Motivation der Arbeit, den Einfluss der Angriffsintensität auf die Erkennungswahrscheinlichkeit zu untersuchen, um Angreiferverhalten besser modellieren zu können.
4 Ergebnisse der Literatur: Hier wird der aktuelle Stand der Forschung zu Angriffen und Intrusion Detection Systemen (Komponenten, Arten, Methoden) zusammengefasst und kritisch beleuchtet.
5 Methoden und ihre Erkennungswahrscheinlichkeit: In diesem Hauptteil werden anhand von Szenarien die Erkennungswahrscheinlichkeiten verschiedener Methoden der Missbrauchs- und Anomalieerkennung analysiert und eine allgemeine Wahrscheinlichkeitsverteilung abgeleitet.
6 Kritische Würdigung: Dieses Kapitel diskutiert die getroffenen Annahmen und Vereinfachungen der Arbeit sowie deren Einfluss auf die Gültigkeit der abgeleiteten Ergebnisse.
7 Zusammenfassung und Ausblick: Die Arbeit schließt mit einer Synthese der Erkenntnisse und gibt Empfehlungen für weiterführende theoretische und empirische Forschungsprojekte.
Schlüsselwörter
Intrusion Detection Systeme, IDS, IT-Sicherheit, Angriffserkennung, Erkennungswahrscheinlichkeit, Angriffsintensität, Missbrauchserkennung, Anomalieerkennung, Boyer-Moore-Algorithmus, Expertensystem, State Transition Analysis, Statistische Anomalieerkennung, Neuronale Netze, Angreiferverhalten, Audit-Records.
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Diplomarbeit untersucht die Leistungsfähigkeit von Intrusion Detection Systemen (IDS), speziell im Hinblick darauf, wie die Wahrscheinlichkeit, einen Angriff zu erkennen, mit der Anzahl der Wiederholungen desselben Angriffs (Angriffsintensität) variiert.
Was sind die zentralen Themenfelder?
Die zentralen Felder sind die Funktionsweise von Intrusion Detection Systemen, die Klassifizierung von Angriffen, die mathematische Analyse von Erkennungswahrscheinlichkeiten sowie die Verhaltensmodellierung von rational agierenden Angreifern.
Was ist das primäre Ziel oder die Forschungsfrage?
Das primäre Ziel ist es, eine allgemeine Aussage über die Wahrscheinlichkeitsverteilung der Angriffserkennung bei zunehmender Angriffsintensität zu treffen, um diese Erkenntnisse für eine optimale Investitionsstrategie in IT-Sicherheit zu nutzen.
Welche wissenschaftliche Methode wird verwendet?
Die Autorin nutzt eine methodische Analyse auf Basis von Szenarien. Dabei werden verschiedene technische Ansätze (Missbrauchs- und Anomalieerkennung) in fiktiven, aber realitätsnahen Szenarien modelliert, um den Verlauf der Erkennungswahrscheinlichkeit theoretisch herzuleiten.
Was wird im Hauptteil behandelt?
Im Hauptteil (Kapitel 5) werden die Funktionsweisen spezifischer Analysemethoden wie Boyer-Moore, regelbasierte Expertensysteme, State Transition Analysis, statistische Verfahren und neuronale Netze in Szenarien angewandt, um deren Verhalten bei sich wiederholenden Angriffen zu quantifizieren.
Welche Schlüsselwörter charakterisieren die Arbeit?
Die Arbeit lässt sich durch Begriffe wie Intrusion Detection, Erkennungswahrscheinlichkeit, Angriffsintensität, Missbrauchs- und Anomalieerkennung sowie Modellierung von Angreiferverhalten charakterisieren.
Warum ist der Boyer-Moore-Algorithmus relevant für die Untersuchung?
Der Algorithmus ist ein klassisches Beispiel für die Signaturanalyse innerhalb der Missbrauchserkennung. Seine Funktionsweise dient als Basis, um in Szenarien zu zeigen, wie sich die Trefferwahrscheinlichkeit ändert, wenn ein Angreifer Signaturen variiert oder beibehält.
Welche Rolle spielt die Differenzierung zwischen Missbrauchs- und Anomalieerkennung?
Sie ist entscheidend, da beide Ansätze grundlegend unterschiedliche mathematische Verläufe der Erkennungswahrscheinlichkeit aufweisen: Während Missbrauchserkennung oft auf bekannte Muster setzt, die sich bei wiederholten Versuchen (mit Lernkurve) besser erkennen lassen, analysiert die Anomalieerkennung Abweichungen vom statistischen Normalzustand.
- Quote paper
- Adeline Galonska (Author), 2008, Intrusion Detection Systeme, Munich, GRIN Verlag, https://www.grin.com/document/135617
