Koordination verteilter Instanzen zur dezentralen Angriffserkennung
- Typ:Studienarbeit
- Betreuung:Thomas Gamer, Marcus Schöller
- Bearbeitung:Michael Scharf
-
Beschreibung
Die Nutzung von Netzwerken und des Internets erfreut sich in der heutigen Zeit auch bei Unternehmen steigender Beliebtheit. Dadurch wird das Internet allerdings auch mehr und mehr zu einer kritischen Infrastruktur, deren Funktion und Zuverlässigkeit geschützt werden müssen. Aufgrund steigender Bedrohungen gewinnt daher das Thema Sicherheit in diesem Bereich immer mehr an Bedeutung. Vor allem DDoS-Angriffe, die auf einen zeitlich begrenzten Ausfall von Diensten zielen, und immer häufiger auftretende Angriffe durch Würmer und Viren führen zu hohen Kosten.
Daher wurde ein System zur Angriffserkennung in Hochgeschwindigkeitsnetzen entwickelt, welches Anomalie-basiert arbeitet und im Gegensatz zu Signatur-basierten Ansätzen in der Lage ist, auch neue Angriffs-Varianten zu erkennen. Des Weiteren wurde bei der Konzeption des Systems auf einen möglichst geringen Ressourcenverbrauch geachtet, um einen Einsatz im Inneren des Netzes zu ermöglichen.Aufgabe
Da ein Angriffsstrom in der Nähe eines Angreifers meist noch zu gering ist und sich nicht von normalen Datenströmen unterscheiden lässt, können Angriffe allerdings selten direkt bei der Quelle erkannt werden. Durch die im Innern des Netzes stattfindende Aggregation mehrerer Angriffsströme von unterschiedlichen, koordinierten Angreifern steigen die Chancen dafür, dass der Angriff erkannt werden kann. Im Fall eines erkannten Angriffs sollen bereits im Inneren des Netzes Gegenmaßnahmen eingeleitet werden, um den Angriffsverkehr zu blocken. Wird ein Teil des Angriffsverkehrs geblockt, kann dies allerdings dazu führen, dass die übrigen Angriffsströme, die sich erst auf dem verbleibenden Pfad zum Opfer vereinen, nicht erkannt werden und dennoch Schaden anrichten können.
Im Rahmen der Studienarbeit soll ein Protokoll entwickelt werden, welches die Beschreibung eines erkannten Angriffs erlaubt und dadurch eine Signalisierung von erkannten Angriffen und ihren Eigenschaften an nachfolgende Router auf dem Pfad zum Opfer ermöglicht. Die nachfolgenden Router können dadurch die Werte des geblockten Angriffsverkehrs zusätzlich zu den beobachteten in die Angriffserkennung einbeziehen. Dies ermöglicht auch eine Erkennung von Angriffsströmen desselben Angriffs, welche im aggregierten Angriffsstrom des vorausgehenden Routers noch nicht enthalten waren. Des Weiteren sollen erkannte Angriffe auch an vorausgehende Router signalisiert werden, welche den Angriff evtl. nicht erkannt haben, damit die einzelnen Angriffsströme bereits möglichst nahe an der Quelle des Angriffs gefiltert werden können. Abschließend soll das entwickelte Protokoll in die bestehende Implementierung des Systems zur Angriffserkennung integriert werden.Arbeitsumgebung
Im Bereich des FlexiNet-Projektes steht ein Testbett zur Verfügung.