Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Vigna, Kemmerer: Das STAT Framework - Framework für ein Intrusion Detection System.

Ähnliche Präsentationen


Präsentation zum Thema: "Vigna, Kemmerer: Das STAT Framework - Framework für ein Intrusion Detection System."—  Präsentation transkript:

1 Vigna, Kemmerer: Das STAT Framework - Framework für ein Intrusion Detection System

2 Was ist IDS? Intrusion Detection System Definition: System aus Hard- und Software, das Ereignisse auf Computern oder in Netzwerken überwacht und auf Anzeichen für Angriffe untersucht, die das Ziel haben, Integrität, Vertraulichkeit, Verfügbarkeit des Computers oder des Netzwerkes zu verringern. Arten: hostbasiert (HID) ID Systeme, die auf einem Host-Computer zur Erkennung von Angriffen operieren netzbasiert (NID) ID Systeme, die auf dem Netzdatenstrom operieren Sinnvoll: ein hybrides System aus beiden

3 Historischer Abriss IDS IDS: Intrusion Detection System früher: Admins vor den Monitoren, manuelles Auswerten von Log- Dateien 80s: Programme, die automatisiert die Log-Dateien auswerten 90s: Real-Time Auswertung von Log-Dateien Ab 90s: Herausforderung: IDS netzbasiert (100MB, GB, Glasfaser!) und in großen Netzwerken, Abgleich von Audit-Daten, sehr große Menge von Daten, Abgleich mit realer Netztopologie

4 Erkennungstechniken Arbeitsweise: Wissensbasiert (Signatur-Erkennung) misuse detection Erkenne die Angriffe Ähnlich AV Erkennung per Abgleich mit Signaturdatenbank Verhaltensbasiert (Anomalie-Erkennung) anomaly detection Erkenne das Nichtnormale Aktuelle Aktivitäten werden mit normalem und gültigem Verhalten von System und Nutzern abgeglichen

5 IT-System Überwachung Audit Intrusion Detection Analyse Respons e Nutzeraktionen Alarm Reaktion Audit-Log Funktionsweise IDS

6 STAT Tool Suite Richard A. Kemmerer, Giovanni Vigna et alii DoCS at UC Santa Barbara: STAT Project (Stand 2003) State Transition Analysis Technique STATL Language STAT Core STAT Toolset USTAT: hostbasiertes IDS für Sun Microsystem BSM NSTAT: USTAT auf mehreren Rechnern (vert. Systeme) NetSTAT: netzwerk-basiertes IDS WinSTAT: hostbasiert WIN NT Event Logs WebSTAT: Applikationssensor für Apache Web Server-Logs AlertSTAT: high level intrusion correlator MetaSTAT Infrastructure

7 State Transition Diagram Angriffszenarios aufgefasst als Zustandstautomaten: State Transition Diagram: vom sicheren Zustand zu einem kompromittiertem Zustand

8 Beispiel: Angriff als State Transition Diagram... compromised (w.euid!=0) && (w.owner != w.ruid) WRITE w (r.pid == e.pid) && (r.inode == w.inode) EXCECUTE e : match_name(e.objname, login) READ r

9 STATL: eine Angriffs-Beschreibungs-Sprache

10

11 STAT-Core Runtime-Entsprechung für STATL implementiert umgebungsunabhängige Charakteristik von STATL, also Konzept von Zustand, Übergang, Timer, Event- Übereinstimmung usw STAT core wird zur Laufzeit dynamisch erweitert durch Module um einen funktionsfähigen Sensor zu erhalten

12 Erweiterung von STAT core

13 Meta-STAT - Architektur

14 Einschätzung State Transition Analysis Technique erweitert die Möglichkeiten wissensbasierter IDS Teilweise sind die einzelnen Elemente noch nicht verfügbar und noch in der Entwicklung Forensik? Anwenderfreundlichkeit? GUI scheint das Hauptproblem zu sein Problematik der Dual-homed Hosts bei hostbasierten Sensoren? Leistungsfähigkeit bei Last?

15 Repräsentation der Attacke

16 STAT: 2.Beispiel Syn Flooding


Herunterladen ppt "Vigna, Kemmerer: Das STAT Framework - Framework für ein Intrusion Detection System."

Ähnliche Präsentationen


Google-Anzeigen