Motivation – iAID

iAID Motivation

Laufzeit: März 2012 – Dezember 2014
Gesamtmittel: 1,75 Mio. Euro
Status: Abgeschlossen

iAID: innovative Anomaly- and Intrusion-Detection

Mit der zunehmenden Vernetzung der IT-Systeme steigt auch die Bedrohung dieser weiter an. Wie der BSI Lagebericht zur IT Sicherheit zeigt, nimmt die Anzahl der Angriffe auf IT-Systeme, die mit dem Internet verbunden sind, weiter zu. Ziele solcher Angriffe sind unter anderem Einschränkung der Verfügbarkeit von Diensten oder der Diebstahl von Informationen. In vielen Fällen resultiert dies in schweren Image-Schäden und finanziellen Schäden in Milliardenhöhe. Ein effektiver Schutz vor solchen Angriffen und Bedrohungen liegt also im Interesse der Systembetreiber. Cyber-War und Cloud-Computing sind neue Aspekte, die ebenfalls neue Innovationen im Bereich der Angriffe erwarten lassen.
Klassische Ansätze für den Schutz basieren auf dem Prinzip der Misuse-Detection. Dabei werden die Bedrohungen bzw. die Angriffe beschrieben und explizit nach diesen Mustern im Netzwerkverkehr gesucht. Ein Beispiel für ein Misuse-Detection-System, das einen solchen Ansatz verfolgt, ist Snort. Der Nachteil der Misuse-Detection liegt darin, dass die Bedrohungen konkret bekannt sein müssen, denn nur dann kann bei diesem Konzept eine detaillierte Beschreibung eines Angriffes erstellt werden. Bisher unbekannte Angriffe sind mit diesem Ansatz nicht zu identifizieren. Diese Lücke füllt die Anomalie-Erkennung. Hier wird nicht das böse Verhalten beschrieben, sondern das gute Verhalten. Bezogen auf diese Beschreibungen wird dann nach Abweichungen gesucht, um diese als Ereignis zu melden.
Eine Herausforderung, die der Ansatz der Anomalie-Erkennung birgt, ist die Tatsache, dass Abweichungen vom Normalen nicht nur bei Angriffen auftreten, sondern auch bei anderen Formen anormalen Verhaltens. Das kann z.B. ein einfacher Download sein, der sonst nicht vorkommt, oder auch die Nutzung eines Dienstes, der bisher nicht verwendet wurde. Problematisch ist insbesondere die Beschreibung des Normalverhaltens. Es ist schwer zu beschreiben, was normal ist und was nicht. Das führt im Regelfall zu vielen gemeldeten Ereignissen über erkannte Abweichungen und damit insgesamt zu einer erhöhten Arbeitsbelastung für den Administrator. Hier sind innovative Techniken zur Reduzierung der Ereignismeldungen notwendig. Außerdem muss eine geeignete Beschreibung des Normalverhaltens gefunden werden. Diese muss einen möglichst genauen Überblick über das Verhalten ermöglichen und damit eine gute Beschreibung des Normalzustands eines IT-Systems liefern.
Außerdem soll eine weitere Herausforderung gelöst werden. Techniken der Misuse-Detection bzw. der Anomalie-Erkennung nutzen normalerweise Deep-Packet-Inspection, d.h. eine komplette Analyse der Inhalte der ausgetauschten Pakete bis zur Anwendungsebene. Der zu überwachende Netzwerkverkehr wird allerdings immer größer. Lagen die Bandbreiten früher im Mbit/s-Bereich, liegen sie heutzutage im Gbit/s-Bereich (der DE-CIX bspw. hatte im Mai 2012 einen Durchschnittsdurchsatz von 1.123 Gbit/s). Der Einsatz von Deep Packet Inspection wird bei solchen Bandbreiten immer mehr zu einem Performance-Problem. Die Detection-Systeme, die die Analysen durchführen, müssen immer leistungsfähiger werden, was zu vernünftigen Kosten nur schwer zu erreichen ist. Hier ist es also notwendig, innovative Techniken zu finden, die auch eine Überwachung von Leitungen mit sehr viel höheren Bandbreiten ermöglichen, und das zu akzeptablen Kosten. Bisherige Ansätze, die versuchen dieses Problem zu lösen, setzen auf eine starke Aggregation der Daten. Dies schränkt allerdings den Informationsgehalt der Daten stark ein und ermöglicht nur gewisse Arten von Analysen.
Eine dritte Herausforderung ergibt sich bei der Analyse des Netzwerkverkehrs. Der Eingriff in die Rechte der Nutzer bei der Analyse von Flow-Daten ist überschaubar. Kommt jedoch eine Deep-Packet-Inspection zum Einsatz, sind strenge Datenschutz-Anforderungen gegeben. Zudem wird auch das Fernmeldegeheimnis berührt. Eine detaillierte Analyse der Pakete bedeutet letztlich den Zugriff auf besonders sensible, personenbezogene Informationen aus dem Inhaltsbereich der Kommunikation. Dies kann in Unternehmensnetzen durch Vereinbarungen mit den Mitarbeitern geregelt werden. Bei der Untersuchung von Transitverkehr ist dies jedoch nicht mehr ohne weiteres möglich. Es ist hier also notwendig innovative Techniken zu entwickeln, die eine datenschutzkonforme Analyse des anfallenden Verkehrs ermöglichen.
Diesen Problemen widmet sich das Projekt iAID.

iAID