Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Author: C. Mayer links:
Source: University of Karlsruhe (TH), November 2007
Im Jahre 1988 brachte Robert Tappen Morris den ersten Internet-Wurm der Geschichte in Umlauf [Spaf04]. Die sehr schnelle Verbreitung des Wurms führte zum Zusammenbruch ganzer Netzbereiche und dem damit ersten Ausfall im Internet, welcher durch einen verteilten Angriff verursacht wurde. Heute, 19 Jahre nachdem der erste Internet-Wurm der Geschichte sein Unwesen trieb, haben sich Netzstrukturen und Mechanismen stark geändert. Wohingegen 1988 ein einzelner Wurm Teile des Internet zum Erliegen brachte, sind es heute Botnetze mit Größen bis zu 20 000 Bots [Post06], welche verwendet werden, um gezielt Systeme im Internet mit verteilten Denial-of-Service-Angriffen (DoS-Angriffe) auszuschalten. Der Worldwide Infrastructure Security Report [Arbo07] nennt Botnetze und verteilte DoS-Angriffe die größten Gefahren, welche zur Zeit das Internet bedrohen. Die Erkennung von DoS-Angriffen und ihre Bekämpfung ist ein bis heute ungelöstes Problem der Netzsicherheit. Client-basierte Lösungen gegen DoS-Angriffe haben sich als ungeeignet erwiesen, da diese den Host selbst und auch das Netz nicht schützen können. Vielversprechende Lösungen liegen im Bereich der Angriffserkennung durch verteilte Instanzen, welche im Netzinneren auf Vermittlungssystemen agieren und kollaborativ arbeiten. Dadurch können Angriffe frühzeitig erkannt und bekämpft werden, wodurch das Netz und die darin befindlichen Systeme besser geschützt werden können. Um im Netzinneren zu arbeiten, muss ein Angriffserkennungssystem hoch skalierbar sein, damit die dort beobachteten Verkehrsprofile verarbeitet werden können. Weiterhin muss das Angriffserkennungssystem auf Vermittlungssystemen mit geringen Ressourcen lauffähig sein, ohne diese selbst in ihrer Arbeit zu beeinflussen. Die sehr schnell wachsende Anzahl an neuen Protokollen macht eine leichte Erweiterbarkeit unabdingbar. Ferner fordert die hohe Forschungsaktivität im Bereich der Angriffserkennung eine leichte Erweiterbarkeit in Bezug auf neue Methoden und Verfahren zur Angriffserkennung. Um die Ressourcen des Vermittlungssystems geringstmöglich zu beeinflussen, müssen nicht benötigte Teile der Angriffserkennung automatisiert ge- und entladen werden. Des Weiteren ist eine hohe Robustheit notwendig, um zu verhindern, dass das Vermittlungssystem im Fall einer Fehlfunktion des Angriffserkennungssystems oder eines Angriffs auf das Angriffserkennungssystem beschädigt oder in einer anderen Weise in seiner Arbeit behindert wird. Die Verteilung und Kollaboration des Angriffserkennungssystems auf eine Menge von Vermittlungssystemen erlaubt die Nutzung von verteiltem Wissen durch die verschiedenen Instanzen. Dadurch können qualitativ hochwertigere Entscheidungen getroffen werden, was zu besseren Ergebnissen der Angriffserkennung führt. Weiterhin bietet die Verteilung und Kollaboration der Angriffserkennungssysteme die Möglichkeit, schwächere Knoten nur mit bestimmten Komponenten des Angriffserkennungssystems zu betreiben. Diese können somit spezifische Aufgaben übernehmen und als Auslagerung für andere Instanzen dienen. Die zunehmende Heterogenität von Netzen, Knoten, Endsystemen und Anwendungen macht neue Methoden und Vorgehen zur Erkennung von Angriffen notwendig. Durch neue Netzstrukturen, Protokolle und Technologien entstehen neue Bedrohungen. Diese können nur durch ein geändertes Vorgehen bei der Erkennung von Angriffen behandelt werden. Visionen wie die des ubiquitären Future Internet [CPBD+05] machen ein Umdenken im Bereich der Angriffserkennung notwendig und erfordern Angriffserkennungssysteme, welche leicht auf geänderte Netzstrukturen und Mechanismen angepasst werden können.