Anomaly based detection of simultaneous DDoS attacks

  • type:Diplomarbeit
  • advisor:Thomas Gamer
  • person in charge:Denise Dudek
  • Beschreibung

    Die Nutzung von Netzwerken und des Internets erfreut sich in der heutigen Zeit auch bei Unternehmen steigender Beliebtheit. Dadurch wird das Internet allerdings auch mehr und mehr zu einer kritischen Infrastruktur, deren Funktion und Zuverlässigkeit geschützt werden müssen. Aufgrund steigender Bedrohungen gewinnt daher das Thema Sicherheit in diesem Bereich immer mehr an Bedeutung. Vor allem DDoS-Angriffe, die auf einen zeitlich begrenzten Ausfall von Diensten zielen, und immer häufiger auftretende Angriffe durch Würmer und Viren führen zu hohen Kosten.
    Daher wurde ein System zur Angriffserkennung in Hochgeschwindigkeitsnetzen entwickelt, welches Anomalie-basiert arbeitet und dadurch im Gegensatz zu Signatur-basierten Ansätzen in der Lage ist, auch neue Angriffs-Varianten zu erkennen. Des Weiteren wurde bei der Konzeption des Systems auf einen möglichst geringen Ressourcenverbrauch geachtet, um einen Einsatz im Inneren des Netzes zu ermöglichen.
    Ein Prototyp des Systems zur Angriffserkennung wurde mit Hilfe von FlexiNet, einer programmierbaren Plattform zur flexiblen Bereitstellung von Diensten, bereits am Institut für Telematik implementiert.

    Aufgabe

    Findet während eines vom Erkennungssystem entdeckten Angriffs ein weiterer, überlagerter Angriff im selben Aggregat statt, ist das entwickelte System momentan nicht in der Lage, diesen Angriff zu bemerken. Diese Tatsache könnte von einem Angreifer ausgenutzt werden, um weitere Angriffe zu starten, die vom System unerkannt bleiben. Ein weiteres Problem bei der derzeitigen Angriffserkennung ist, dass das Ende eines entdeckten Angriffs unter bestimmten Umständen nicht erkannt werden kann. In diesem Fall würde das Erkennungssystem von einem unendlich andauernden Angriff ausgehen und in Zukunft keine weiteren Angriffe mehr erkennen können.
    Im Rahmen der Diplomarbeit soll ein Verfahren entwickelt werden, welches es erlaubt, sowohl das Ende jedes vermuteten Angriffs als auch überlagerte Angriffe im selben Aggregat zuverlässig zu erkennen. Das hierbei entstandene Verfahren soll anschließend in die bestehende Implementierung integriert und evaluiert werden.

    Arbeitsumgebung

    Im Bereich des FlexiNet-Projektes steht ein Testbett zur Verfügung, auf dem die erforderlichen Implementierungen und Tests gemacht werden können.

    Voraussetzungen

    Grundkenntnisse in C sind vorteilhaft.