Anomalie-basierte Identifikation von Angriffen im Internet

  • Typ:Diplomarbeit
  • Betreuung:Thomas Gamer
  • Bearbeitung:Jannis Breitwieser

  • Beschreibung

    Die Nutzung von Netzwerken und des Internets erfreut sich in der heutigen Zeit auch bei Unternehmen steigender Beliebtheit. Dadurch wird das Internet allerdings auch mehr und mehr zu einer kritischen Infrastruktur, deren Funktion und Zuverlässigkeit geschützt werden müssen. Aufgrund steigender Bedrohungen gewinnt daher das Thema Sicherheit in diesem Bereich immer mehr an Bedeutung. Vor allem DDoS-Angriffe, die auf einen zeitlich begrenzten Ausfall von Diensten zielen, und immer häufiger auftretende Angriffe durch Würmer und Viren führen zu hohen Kosten.
    Daher wurde ein System zur Angriffserkennung in Hochgeschwindigkeitsnetzen entwickelt, welches Anomalie-basiert arbeitet und dadurch im Gegensatz zu Signatur-basierten Ansätzen in der Lage ist, auch neue Angriffs-Varianten zu erkennen. Des Weiteren wurde bei der Konzeption des Systems auf einen möglichst geringen Ressourcenverbrauch geachtet, um einen Einsatz im Inneren des Netzes zu ermöglichen.

    Aufgabe

    Das bisher existierende System beendet die Erkennung, welche nach einem Hinweis auf einen Angriff in der Basisstufe begonnen wird, im Idealfall mit der Ausgabe einer Protokoll-Anomalie. Um eine schnelle Entscheidung über einzuleitende Gegenmaßnahmen oder eine Visualisierung des aktuellen Netzzustands zu erleichtern, wird eine effiziente Identifikation von Angriffen benötigt. Diese kann beispielsweise auf zusätzlichem Wissen über Angriffe basieren, d.h. ein Angriff lässt sich als Kombination von notwendigen und optionalen Protokoll-Anomalien darstellen. Inwieweit ein solches Vorgehen möglich und sinnvoll ist und wie dieses Wissen dem Erkennungssystem zugänglich gemacht werden kann, ist im Rahmen dieser Diplomarbeit zu untersuchen.\\ Des Weiteren muss das entwickelte Verfahren berücksichtigen, dass im Fall von Routing-Asymmetrien eine Kommunikation bzw. ein Wissensaustausch aller Detektionsinstanzen einer Domäne stattfinden muss. Im Fall einer Koordination aller Detektionsinstanzen muss Wissen zwischen Instanzen mit möglicherweise unterschiedlichem Grundwissen ausgetauscht und korrekt interpretiert werden. Abschließend soll das entwickelte Verfahren in die bestehende Implementierung integriert und evaluiert werden.

    Arbeitsumgebung

    Im Bereich des FlexiNet-Projektes steht ein Testbett zur Verfügung.