FIDeS: Frühwarn- und Intrusion Detection-System auf der Basis von kombinierten Methoden der KI
Motivation
Intrusion-Detection-Systeme (IDS) sind heute ein weit verbreitetes Mittel, um Firmennetze zu schützen. Da sie Angriffe gegen Computersysteme aufspüren können, helfen sie unter anderem dabei, den Diebstahl von wichtigem Firmen-Know-How zu entdecken und zu unterbinden. Diese Systeme leiden allerdings zurzeit noch unter zwei großen Problemen: Zum einen arbeiten sie zum größten Teil signaturbasiert und können daher nur Angriffe entdecken, die bereits bekannt sind und für die eine Signatur vorliegt. Das zweite Problem: Durch die hohe False-Positive-Rate und die Masse der anfallenden Ereignisse, die diese Systeme liefern, sind Sicherheitsverantwortliche nicht in der Lage, alle Vorfälle ausreichend zu bearbeiten. Um den Angreifern auf die Schliche zu kommen, ist ein immenses und ständig wachsendes Expertenwissen nötig. Nur so können Ereignisse zu zusammenhängenden Szenarien zusammengefasst und mit weiteren Informationen wie Schwachstellen- oder Inventorydatenbanken korreliert werden. FIDeS soll an diesen beiden Problempunkten aufbauend auf abgeschlossenen Forschungsprojekten und mit Hilfe von neuen Ideen Lösungen entwickeln, die den Sicherheitsverantwortlichen bei seiner täglichen Arbeit unterstützen. Ziel ist es, die Angriffserkennung und die anschließende forensische Analyse zu verbessern. Wenn möglich sollen sogar Vorhersagen getroffen werden können, um kritische Vorfälle von vornherein zu verhindern. Mithilfe dieser Ergebnisse können Informationen dann auch firmenübergreifend analysiert werden, um Angriffsszenarien, die an einem einzelnen Standort eventuell nicht aufgefallen wären, im größeren Stil aufdecken zu können.
Das IAS als FIDeS-Basissystem
Das im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) entwickelten Internet-Analyse-System (IAS) vom Institut für Internet-Sicherheit soll als Basissystem zur statistischen Anomalie-Erkennung in Netzwerkverkehr für FIDeS die Angriffe erkennen, die herkömmliche IDS nicht sehen können. Dazu überwacht das IAS eine große Menge an verschiedenen Parametern im Paketstrom von Netzwerkleitungen und bestimmt das Normalverhalten der Kommunikation. Abweichungen können dann als Anomalien gemeldet werden. Durch den Einsatz von Verfahren der künstlichen Intelligenz (KI) ist gewährleistet, dass die Bestimmung des Normalverhaltens sich an beliebige Standorte und an größere Veränderungen im überwachten Netzwerk mit der Zeit anpassen kann und nicht aufwändig von Hand konfiguriert werden muss. Die erkannten Anomalien sollen dann von FIDeS ausgewertet und mit Ereignissen von vielfach produktiv eingesetzten IDS wie Snort und anderen Datenquellen abgeglichen werden. So könnten die Pläne der Angreifer noch während der Durchführung aufgedeckt und unterbrochen werden.
Technische Realisierung
FIDeS soll das Rad nicht komplett neu erfinden, sondern an möglichst vielen Stellen etablierte Open-Source-Systeme und standardisierte, offene Formate zum Datenaustausch einsetzen. So können weitere Sensoren oder andere Komponenten an die Basisarchitektur angebunden werden und Anforderungen mit beliebigen Programmiersprachen umgesetzt werden. Im Mittelpunkt steht bei FIDeS der Benutzer, der bei seiner täglichen Arbeit, der Überwachung der Sicherheitslage, unterstützt werden soll. Aus diesem Grund soll ganz nach dem Motto „Usable Security“ besonderes Augenmerk auf die Benutzerschnittstelle gelegt werden. Große Informationsmengen können so schnell und intuitiv erfasst werden und Entscheidungen für Gegenmaßnahmen können rechtzeitig getroffen werden. Aktuelle Technologien aus dem Bereich Web 2.0 sollen zu diesem Zweck dabei helfen, das System gut handhabbar und konfigurierbar zu machen.
Bisherige Ergebnisse
Um die Anforderungen an das FIDeS-System zu ermitteln kann das gut aufgestellte Konsortium aus Firmen wie T-Systems, ZF Friedrichshafen AG oder der nicos AG auf fundiertes Praxis-Wissen zugreifen. Mit bewährten Interview-Verfahren wurden tägliche Probleme bei der Überwachung der Sicherheitslage aufgedeckt. Diese dienen als Basis für die Bestimmung der Anforderungen. Zusätzlich wurden Informationen über Angriffsstrategien gegen Firmennetze und das Internet als Ganzes zusammengetragen und wissenschaftliche Veröffentlichungen zu verwandten Themen begutachtet. So können erfolgversprechende Ergebnisse in die Entwicklung einfließen.
Konsortium
- if(is), FH Gelsenkirchen
- TZI, Universität Bremen
- Nicos AG
- mobile solution group
- ZF Friedrichshafen AG
- T-Systems
- algorithmica technologie
Projekt Homepage: http://www.fides-security.org