Protection of a collaborative attack detection

  • type:Diplomarbeit
  • advisor:Thomas Gamer, Roland Bless
  • person in charge:Frank Scherrer
  • Beschreibung

    Das Internet sieht sich trotz zahlreicher Forschungsaktivitäten auch heute noch häufig Bedrohungen wie DDoS-Angriffen, Wurm-ausbreitungen und Botnetzen ausgesetzt. Vor allem bei im Internet tätigen Unternehmen können solche Angriffe zu hohen finanziellen Verlusten führen. Daher wurde am Institut für Telematik ein System zur Angriffserkennung im Netzinneren entwickelt, das Angriffe früher erkennen und dadurch schneller darauf reagieren kann. Die Angriffserkennung erfolgt Anomalie-basiert und nutzt das Prinzip der Verfeinerung um möglichst ressourcenschonend zu arbeiten. Da Angriffe bisher nur basierend auf lokalen Beobachtungen detektiert werden, kann nicht jede Instanz alle Angriffe korrekt erkennen, z.B. aufgrund einer ungünstigen Aggregation der Angriffströme. Ein zusätzlicher Austausch der lokalen Beobachtungen zwischen Detektionsinstanzen kann jedoch zur Verringerung von Erkennungsfehlern und zu effektiveren Gegenmaßnahmen beitragen.

    Aufgabe

    Im Rahmen der Diplomarbeit soll untersucht werden, mit welchen Mitteln der Nachrichtenaustausch zwischen Detektionsinstanzen vor Angriffen geschützt werden kann, wenn man annimmt, dass keinerlei Vertrauen zwischen den kommunizierenden Instanzen besteht. Hierzu sollen verschiedene Mechanismen zur Nachbarfindung, z.B. ringbasierte Suche oder pfadgebundene Signalisierung mittels GIST, betrachtet werden. In einem zweiten Schritt soll von der bisherigen Annahme, dass keinerlei Vertrauen zwischen Instanzen besteht, Abstand genommen werden. Dies ist beispielsweise der Fall, wenn sich beide Instanzen innerhalb derselben Domäne befinden. In diesem Fall kann die Koordination eventuell effektiver gestaltet und gesichert werden. Außerdem sind in diesem Szenario möglicherweise andere Signalisierungsverfahren geeigneter als im ersten Szenario. Abschließend sollen die entwickelten Sicherungsmechanismen sowie die Effektivität der Koordination in den unterschiedlichen Szenarien mit Hilfe des Simulators OMNeT++ evaluiert werden.

    Arbeitsumgebung

    Klimatisierter Poolraum, Simulationsrechner und Kaffeemaschine stehen zur Verfügung.

    Voraussetzungen

    Kenntnisse der Programmiersprache C++ und des Netzwerksimulators OMNeT++ sind vorteilhaft, werden aber nicht vorausgesetzt.