Intrusion Detection Systeme

Diplomarbeit von Adeline Galonska

Einleitung:

In der heutigen digitalen Welt dienen Computer als Ablage für alle relevanten und sensiblen Firmeninformationen. Der Geschäftserfolg und der Erhalt des Wettbewerbsvorteils eines Unternehmens hängen somit maßgeblich von dem Schutz dieser Informationen vor unberechtigten Zugriffen ab. Aktuelle Meldungen zeigen, dass die Gefahr von Angriffen auf Computer und Netzwerke mit wachsendem Wettbewerbsdruck immer größer wird. Eine optimale Strategie für IT-Investitionen bildet die Grundlage für eine angemessene Reaktion auf diese Gefährdung. Diesem erfolgskritischen Thema widmet sich ein Forschungsprojekt am Wirtschaftsinformatik-Lehrstuhl der Universität Augsburg. Darin soll das Verhalten eines finanziell motivierten und rational handelnden Angreifers modelliert werden, um mögliche Aktivitäten vorauszusagen und von vornherein angemessene Reaktionen und ggf. präventive Maßnahmen optimal zu bestimmen. Angreifer dieser Art verfolgen wirtschaftliche Ziele und orientieren ihr Verhalten an der Gefahr, entdeckt und somit bestraft zu werden.

Bisherige Arbeiten zu Intrusion Detection Systemen beschreiben hauptsächlich die Funktionsweisen der verschiedenen Systeme mit den jeweiligen Vor- und Nachteilen. Wenige Artikel beschäftigen sich mit der Leistungsfähigkeit von IDS allgemein und der Erkennungswahrscheinlichkeit im Speziellen. Die Arbeit von Lippmann et al. liefert die aktuellsten Aussagen dazu. Studien zum Verhalten der Erkennungswahrscheinlichkeit bei wiederholter Ausführung derselben Attacke existieren nicht. Diese Lücke im theoretischen Konzept zu Intrusion Detection wird durch die vorliegende Arbeit geschlossen. Ergebnis ist eine allgemeine Aussage über die Wahrscheinlichkeitsverteilung der Angriffserkennung mit zunehmender Angriffsintensität als Grundlage für die Modellierung des Angreiferverhaltens.

Im zweiten Kapitel der vorliegenden Arbeit erfolgt zunächst die Definition der grundlegenden Begriffe zur Thematik Intrusion Detection, um ein einheitliches Begriffsverständnis zu schaffen. Anschließend wird im dritten Kapitel die Forschungsfrage, d.h. die Motivation zu dieser Arbeit, erörtert. Das vierte Kapitel beinhaltet eine Zusammenfassung der bisherigen Literatur zu Intrusion Detection Systemen und untersucht diese im Hinblick auf die Forschungsfrage. Zunächst werden allgemein Angriffe auf IT-Systeme charakterisiert. Es folgt eine detaillierte Darstellung der Arten und Methoden von ID-Systemen mit Beschreibungen ausgewählter Funktionsweisen. Daraus abgeleitet werden im fünften Kapitel Szenarien zur Erkennungswahrscheinlichkeit für jede spezielle Methode entwickelt. Die gewonnenen Erkenntnisse fließen dann zu einer allgemeinen Aussage über die Wahrscheinlichkeitsverteilung der Angriffserkennung mit zunehmender Angriffsintensität zusammen. Das sechste Kapitel widmet sich der kritischen Würdigung und diskutiert den Einfluss der getroffenen Annahmen auf das Ergebnis. Den Abschluss bildet eine Zusammenfassung der gewonnenen Erkenntnisse mit einem Ausblick auf zukünftige Arbeiten.

Inhaltsverzeichnis:

Textprobe:

Kapitel 4.2.2, Arten von Intrusion Detection Systemen:

Unterschiedliche Voraussetzungen und verschiedene Ziele haben zur Entwicklung einer Vielzahl von Arten von ID-Systemen geführt. Alle Intrusion Detection Systeme lassen sich nach verschiedenen Aspekten unterscheiden. Die Einteilung nach der Datenquelle bezieht sich auf die Herkunft der Daten, vom Netzwerk oder vom Host. Eine Unterscheidung nach Anomalie- oder Missbrauchserkennung, wird in der Kategorie der Analyseart getroffen. Differenziert nach dem Zeitpunkt wann die gesammelten Daten ausgewertet werden, ergeben sich die zwei Kategorien für den Analysezeitpunkt, in Echtzeit oder verzögert. Die hier aufgeführten Kategorien erheben keinen Anspruch auf Vollständigkeit. Sie sind nicht disjunkt, sondern klassifizieren die Systeme nach unterschiedlichen Ansätzen. Eine typische IDS-Art ist z.B. die Realtime netzwerkbasierte Missbrauchserkennung, z.B. im System SNORT.

Neben den allgemeinen qualitativen Aussagen sollen quantitative Angaben einen ersten Eindruck über die Erkennungswahrscheinlichkeit der unterschiedlichen IDS geben. Die bedeutendsten und umfassendsten Studien über die Angriffserkennung von ID-Systemen sind die DARPA Evaluationen von 1998 und 1999. Ihre Ergebnisse sind sehr ähnlich. In der vorliegenden Arbeit wird hauptsächlich auf die Studie von 1999 verwiesen, die mit 58 Angriffstypen mehr unterschiedliche Arten von Gefahren untersucht. Insgesamt erfolgt der Test mit über 200 bekannten und unbekannten Attacken an 18 host- und netzwerkbasierten Systemen. Lediglich 37 Angriffstypen von 58 werden von den getesteten IDS erkannt. Weitere wichtige Erkenntnis ist die Feststellung, dass es kein ‘bestes’ System für alle Gefahren gibt.

Datenquellen:

Die Quelle der beobachteten Daten wird nach dem Ort, an dem sie gesammelt werden, unterschieden. Die Position der Ereigniskomponente beeinflusst die Performance der einzelnen Rechner und grenzt bereits Arten von Angriffen aus, die nicht entdeckt werden können. Systeme mit unterschiedlichen Datenquellen schließen sich jedoch nicht aus. Deren sinnvolle Kombination kann sogar den Schutz erhöhen.

Zunächst werden ID-Systeme beschrieben, die Daten auf Rechnern erfassen, sog. host- und applikationsbasierte IDS. Es folgt die Beschreibung des alternativen Konzepts, der netzwerkbasierten Systeme.

Hostbasierte Systeme:

Systeme dieser Art bilden den Ursprung von ID-Systemen. In den 80er Jahren, als Computer noch kaum vernetzt waren, wurden alle kritischen Rechner mit einem eigenen Schutzsystem ausgestattet.

Hostbasierte IDS (HIDS) werden gewöhnlich als Software auf kritischen Rechnern, z.B. öffentlich zugänglichen Servern, installiert. Sie sammeln dort Informationen auf der Ebene des Betriebssystems, z.B. durch das zu dem Betriebssystem gehörende Auditsystem. In den meisten Fällen erfolgt die Datensammlung kontinuierlich während des Betriebs des Computers, aber auch periodische Aufnahmen des Systemzustandes können Hinweise auf Eingriffe liefern. HIDS ermöglichen eine genaue Analyse der Aktivitäten mit Informationen über involvierte Prozesse und Nutzer. Typische Inputdaten sind Audit-Trails von applikationsbasierten IDS, Log-Dateien und der Netzwerkverkehr für diesen Host.

Für hostbasierte ID-Systeme ist es wichtig, den Umfang der Ereignisse, die auditiert werden sollen und die Detaillierungsebene des Audits in Abhängigkeit von der Systemumgebung und der drohenden Gefahr festzulegen. Mit steigendem Datenaufkommen sinkt die Rechnerleistung und mehr Speicherplatz ist erforderlich. Damit wird auch die benötigte Zeit für die Analysen, in Echtzeit oder als Batch-Prozess, beeinflusst. Bei zu wenigen Daten dagegen riskiert der Sicherheitsverantwortliche, dass einige Spuren von Angriffen nicht aufgezeichnet werden.

Hostbasierte IDS weisen zahlreiche Vorteile auf. Der höhere Detaillierungsgrad als bei Netzwerkdaten macht sie für die Intrusion Detection qualitativ geeigneter. So werden einerseits Angriffe entdeckt, die netzwerkbasierte Systemen nicht auffallen. Andererseits kann festgestellt werden, ob ein Angriff erfolgreich war und welche Auswirkungen es gibt.

Laing führt weitere Vorteile auf. So bieten diese Systeme die Möglichkeit, Nutzer- und Dateizugänge zu beobachten, genauso wie Aktivitäten, die eigentlich nur mit Administratorrechten ausgeführt werden dürfen. Außerdem können wichtige Systemkomponenten und Schlüsselfunktionen überwacht werden. Der große Vorteil gegenüber netzwerkbasierten IDS liegt darin, dass die analysierten Log-Dateien von einer Datenverschlüsselung nicht betroffen sind. Will der Angreifer so seine Aktivitäten verschleiern, erkennt ein hostbasiertes IDS bei der logbasierten Analyse die sicherheitskritischen Operationen dennoch. Für das Hardwaremanagement und die zugehörigen Kosten ist es vorteilhaft, dass keine weitere Hardwarekomponente installiert werden muss.

Allerdings erfordern diese Systeme die Konfiguration jedes einzelnen geschützten Rechners, was bei großen Netzwerken schnell zu hohem Aufwand führt. Auch die Überwachung und Verifizierung von Angriffen auf jedem einzelnen Host nimmt zusätzlich Zeit in Anspruch. Außerdem wirkt sich die permanente Protokollierung nachteilig auf die Computerleistung aus.

Bace und Mell erläutern weitere Nachteile von hostbasierten ID-Systemen. Ein gravierendes Problem ist die Verbindung des IDS, vor allem der Sensoren und Teile der Analysekomponente, mit dem zu schützenden Host. Ein Angriff auf diesen Computer zieht auch das IDS in Mitleidenschaft, welches ausfallen kann, so dass jeglicher Schutz erlischt. Denial of Service (DoS) Attacken bleiben von HIDS unerkannt und verursachen somit großen Schaden. Viele Netzwerkattacken und –scans bleiben unerkannt, weil Systeme dieser Art lediglich den Netzwerkverkehr des einen Hosts, auf dem sie installiert sind, beobachten. Die vorteilhafte hohe Detailliertheit der Daten aus Audit-Trails der Betriebssysteme kann aber auch zu einem sehr hohen Informationsaufkommen führen, wofür zusätzlicher lokaler Speicherplatz benötigt wird.

Angriffe von heimlichen Nutzern, die sich administrative Rechte erobern und Angriffe auf die Vertraulichkeit werden am besten von hostbasierten Systemen erkannt. Missbrauch von der Konsole innerhalb des Netzwerkes, die auch angegriffen wird, generiert keinen Netzwerkverkehr und kann daher nur von HIDS erkannt werden.

Applikationsbasierte Systeme:

Jedes laufende Programm kann überwacht werden. Die gesammelten Daten sind Applika-tions-Log-Dateien oder andere interne Daten. Sie spiegeln das Verhalten des Programms während der Ausführung wieder. Applikationsbasierte IDS werden auch als Unterart der hostbasierten Systeme gesehen.

Die direkte Überwachung einer Applikation ist vorteilhaft für die Erkennung von Angreifern der Gruppe ‘legitime Nutzer’. Spuren von nicht genehmigten Aktivitäten durch grundsätzlich autorisierte Nutzer zeigen sich in der Interaktion zwischen Nutzer, Applikation und Daten, die von applikationsbasierten IDS aufgezeichnet wird. Die Auswertung dieser Daten führt zur Erkennung des Angriffs. Eine Verschlüsselung von Daten beeinflusst die Analyse nicht, da applikationsbasierte Systeme an Transaktionsendpunkten mit dem Programm interagieren, wo der Nutzer mit unverschlüsselten Informationen arbeitet.

Nachteilig ist die höhere Anfälligkeit der Systeme für Angriffe, da Applikations-Log-Dateien weniger geschützt sind als bspw. Audit-Trails eines Betriebssystems. Attacken, die die Software verfälschen, wie z.B. Trojaner, werden häufig durch die Überwachung der Aktivitäten auf Nutzerebene nicht erkannt. Applikationsbasierte Intrusion Detection Systeme sollten daher immer mit anderen IDS, netzwerk- oder hostbasiert, kombiniert werden.

Lippmann et al. untersuchten in ihren Studien nicht explizit die applika-tionsbasierten Intrusion Detection Systeme. Sie gelten vielmehr als eine Art von hostbasierten ID-Systemen.