Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Framework für ein Intrusion Detection System

Veröffentlicht von:Ottokar Kessenich Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Framework für ein Intrusion Detection System"—  Präsentation transkript:

1 Framework für ein Intrusion Detection System
Vigna, Kemmerer: Das STAT Framework - Framework für ein Intrusion Detection System G. Vigna, B. Cassell, and D. Fayram, "An Intrusion Detection System for Aglets", in Proceedings of the International Conference on Mobile Agents (MA '02), Barcelona, Spain, October 2002. R.A. Kemmerer and G. Vigna, "Intrusion Detection", in IEEE Computer, Special Issue on Security and Privacy, 2002. S.T. Eckmann, G. Vigna, and R.A. Kemmerer, "STATL: An Attack Language for State-based Intrusion Detection," Journal of Computer Security, vol. 10, no. 1/2, pp , 2002 S.T. Eckmann, "Translating Snort rules to STATL scenarios", presented at the 4th International Symposium on Recent Advances in Intrusion Detection (RAID 2001), Davis, CA, October 2001, LNCS 2212, pp G. Vigna, R.A. Kemmerer, and P. Blix, "Designing a Web of Highly-Configurable Intrusion Detection Sensors," in Proceedings of the Workshop on Recent Advances in Intrusion Detection (RAID 2001), Davis, CA, October 2001. S.T. Eckmann, G. Vigna, and R.A. Kemmerer, "STATL Syntax and Semantics," Computer Science Dep., University of California Santa Barbara, Technical Report TRCS20-19, December 2000. S.T. Eckmann, G. Vigna, and R.A. Kemmerer, "STATL: An Attack Language for State-based Intrusion Detection," in Proceedings of the ACM Workshop on Intrusion Detection, Athens, Greece, November 2000. G. Vigna, S.T. Eckmann, and R.A. Kemmerer, "Attack Languages," in Proceedings of the IEEE Information Survivability Workshop, Boston, MA, October 2000. G. Vigna, S.T. Eckmann, and R.A. Kemmerer, "The STAT Tool Suite," in Proceedings of DISCEX 2000, Hilton Head, South Carolina, January 2000, IEEE Press. G. Vigna and R.A. Kemmerer, "NetSTAT: A Network-based Intrusion Detection System," Journal of Computer Security, 7(1), IOS Press, 1999. G. Vigna and R. Kemmerer, "NetSTAT: A Network-based Intrusion Detection Approach," in Proceedings of the 14th Annual Computer Security Application Conference, Scottsdale, Arizona, December 1998. This paper won the Outstanding Paper Award. R.A. Kemmerer, "NSTAT: A Model-based Real-time Network Intrusion Detection System," Computer Science Dep., University of California Santa Barbara, Technical Report TRCS97-18, November 1997. K. Ilgun, R.A. Kemmerer, and P.A. Porras, "State Transition Analysis: A Rule-Based Intrusion Detection Approach," IEEE Transaction on Software Engineering, 21(3), March 1995. K. Ilgun, "USTAT: A real-time intrusion detection system for UNIX," in Proceedings of the IEEE Symposium on Research on Security and Privacy, Oakland, CA, May 1993. K. Ilgun, "USTAT: A real-time intrusion detection system for UNIX," M.S. thesis, Computer Science Dep., University of California Santa Barbara, July 1992. P.A. Porras, "STAT - A state transition analysis tool for intrusion detection," M.S. thesis, Computer Science Dep., University of California Santa Barbara, June 1992.

2 Was ist IDS? Intrusion Detection System
Definition: System aus Hard- und Software, das Ereignisse auf Computern oder in Netzwerken überwacht und auf Anzeichen für Angriffe untersucht, die das Ziel haben, Integrität, Vertraulichkeit, Verfügbarkeit des Computers oder des Netzwerkes zu verringern. Arten: hostbasiert (HID) ID Systeme, die auf einem Host-Computer zur Erkennung von Angriffen operieren netzbasiert (NID) ID Systeme, die auf dem Netzdatenstrom operieren Sinnvoll: ein hybrides System aus beiden HID werten die Log-Files des Hosts aus können Integrität von Systemdateien erkennen Vorteile: Erkennen gut Attacken von trusted insider Überwachen auch Verbindungen, die nicht über das Netzwerk gehen (Dial-In, Seriell, Konsole, Tastatur) Nachteile: nur so gut wie das Logging Cracker ändern als erstes Log-Files, um ihre Spuren zu verwischen -> Schutz: Log-Server NID überwachen Datenstrom im Netzwerksegmet Erkennen gut über das Netz/die Netze verteilte Attacken Erkennen nicht Traffic anderer Segmente und Kommunikationskanäle (Dial-In, Konsole, Konsole), Veränderungen am Dateisystem werden ggfs nicht bemerkt für Switched Network schlecht: Lösung: Port-Mirroring

3 Historischer Abriss IDS
IDS: Intrusion Detection System früher: Admins vor den Monitoren, manuelles Auswerten von Log-Dateien 80‘s: Programme, die automatisiert die Log-Dateien auswerten 90‘s: Real-Time Auswertung von Log-Dateien Ab 90‘s: Herausforderung: IDS netzbasiert (100MB, GB, Glasfaser!) und in großen Netzwerken, Abgleich von Audit-Daten, sehr große Menge von Daten, Abgleich mit realer Netztopologie R.A. Kemmerer and G. Vigna, "Intrusion Detection", in IEEE Computer, Special Issue on Security and Privacy, 2002.

4 Erkennungstechniken Arbeitsweise:
Wissensbasiert (Signatur-Erkennung) misuse detection „Erkenne die Angriffe“ Ähnlich AV Erkennung per Abgleich mit Signaturdatenbank Verhaltensbasiert (Anomalie-Erkennung) anomaly detection „Erkenne das Nichtnormale“ Aktuelle Aktivitäten werden mit normalem und gültigem Verhalten von System und Nutzern abgeglichen Wissensbasiert: Vorteil: wenige false positives Nachteil: nur bekannte Angriffe können erkannt werden, je nach Implementierung gibt es bei neu(artigen) Angriffen keine Meldungen Verhaltensbasiert: Auch neu(artige) Angriffe werden erkannt. z.B. Lernphase: Angriffe können als normales Benutzerverhalten erlernt werde viele false postives, da nicht alles erlernt werden kann

5 Funktionsweise IDS Alarm Reaktion IT-System Überwachung Audit
Intrusion Detection Nutzeraktionen Audit-Log Analyse Response Bemerkung: Reaktion auf das IT-System bedeutet z.B. Trennung des Angreifers durch RST Sperrung von Accounts Umkonfiguration von Firewall-Regeln o.ä. Achtung, das bedeutet natürlich auch IDS könnte ggfs für einen DoS-Angriff missbraucht werden (Szenario: gespoofte IP-Pakete mit IP-Src-Adressen von externen Partner-Computern oder DNS-Servern hätte zur Folge, dass diese IP-Adressen ggfs gesperrt würden...)

6 STAT Tool Suite Richard A. Kemmerer, Giovanni Vigna et alii DoCS at UC Santa Barbara: STAT Project (Stand 2003) State Transition Analysis Technique STATL Language STAT Core STAT Toolset USTAT: hostbasiertes IDS für Sun Microsystem BSM NSTAT: USTAT auf mehreren Rechnern (vert. Systeme) NetSTAT: netzwerk-basiertes IDS WinSTAT: hostbasiert WIN NT Event Logs WebSTAT: Applikationssensor für Apache Web Server-Logs AlertSTAT: high level intrusion correlator MetaSTAT Infrastructure STAT - Technik zur Beschreibung von Angriffsszenarien: STAT-Language: Beschreibungssprache für Angriffe im Sinne von STAT, modular ausbaubar durch language extensions STATcore runtime -Gegenstück zur STATL, die eigentlichen Sensoren, die wiederum durch Module ihre Funktionalität erreichen ToolSet: mehrere teilweise schon vorher existierende IDS‘s, die ad-hoc implementiert wurden und Forschungsprojekte waren. Sie wurden teilweise dem Framework und der STAT-API angepasst und redesigned. MetaSTAT Infrastructure ist ein System, um verschieden Sensoren zu konfigurieren und zu steuern und die Meldungen der Sensoren zu verarbeiten.

7 State Transition Diagram
Angriffszenarios aufgefasst als Zustandstautomaten: STAT wird benutzt, um Angriffe mit einem Zustandsautomaten durch Reduktion auf die Kernereignisse des Angriffes zu beschrieben. Ausgehend von einem „sicheren“ Zustand werden verschieden Zustände (state) durch Übergänge (transitions) erreicht. Zustände beschrieben durch Prädikate/Zusicherungen des Systems (state assertions) Übergänge beschrieben durch Aktionen am System, gekennzeichnet durch bestimmte Signaturen (signature actions) Am Ende wird ein Zustand erreicht, der dem kompromitierten System entspricht. Jeder Angriff hat folglich mindestens zwei Zustände: den „sicheren“ Ausgangszustand (initial state) und den Endzustand (compromised state). State Transition Diagram: vom „sicheren“ Zustand zu einem kompromittiertem Zustand

8 Beispiel: Angriff als State Transition Diagram
EXCECUTE e : match_name(e.objname, „login“) WRITE w READ r (w.euid!=0) && (w.owner != w.ruid) (r.pid == e.pid) && (r.inode == w.inode) ... Angriffszenario: ein ftp-user schreibt im ftpd homverzeichnis (world-writable!) eine datei .rhosts, logt sich dann mit rlogin von remote ins System ohne ein Passwort benutzen zu müssen und ist damit als lokaler User eingeloggt. Die Verallgemeinerung dieses Angriffs ist im obigen Zustandsautomaten beschrieben (so ähnlich funktionieren sehr viele Angriffe) Vorteil der STAT: Angriffe werden auf das Wesentliche (die Kernereignisse) reduziert und decken damit meist ganze Klassen von Angriffen ab, die ähnlich ablaufen. Um Zustandsautomaten zu beschreiben wurde eine eigene Sprache entwickelt, STATL. compromised

9 STATL: eine Angriffs-Beschreibungs-Sprache
STATL wird erweitert durch language extensions z.B. (use bsm, unix;) um Unix /BSM Logs auswerten zu können oder use tcpip; um TCP/IP Pakete analysieren zu können Literatur dazu: S.T. Eckmann, G. Vigna, and R.A. Kemmerer, "STATL Syntax and Semantics," Computer Science Dep., University of California Santa Barbara, Technical Report TRCS20-19, December 2000. S.T. Eckmann, G. Vigna, and R.A. Kemmerer, "STATL: An Attack Language for State-based Intrusion Detection," in Proceedings of the ACM Workshop on Intrusion Detection, Athens, Greece, November 2000. G. Vigna, S.T. Eckmann, and R.A. Kemmerer, "Attack Languages," in Proceedings of the IEEE Information Survivability Workshop, Boston, MA, October 2000.

10 STATL: eine Angriffs-Beschreibungs-Sprache

11 STAT-Core Runtime-Entsprechung für STATL
implementiert umgebungsunabhängige Charakteristik von STATL, also Konzept von Zustand, Übergang, Timer, Event-Übereinstimmung usw STAT core wird zur Laufzeit dynamisch erweitert durch Module um einen funktionsfähigen Sensor zu erhalten

12 Erweiterung von STAT core
a) ohne Module, macht STAT core nichts und wartet auf Events oder Steuer-Meldungen b) Event-Provider wird geladen: Event-Provider sammelt events z.B. aus Apache Logs, oder Netzwerk-Paketen, erzeugt events wie in den language extension Modulen definiert (z.B. Apache Language Extension, Unix module, tcpip Module), wandelt diese um in STAT events und reiht sie ein in die Event-Queue. Es können auch verschiedene Module geladen werden. Dies erfolgt über einen Steuerkanal. Sensor analysiert aber noch nichts. c) Scenario Plugins werden geladen: Ein scenario plugin kann ein oder mehr language extension Module benötigen. Scenario Plugins werden gebraucht, damit die Events ausgewertet werden können. (Bildliche Vorstellung: Scenario Plugins entsprechen den Zustandsautomaten) eintreffende Events aus der event queue werden gegen die Angriffszsenarien abgeglichen, es werden Instanzen des Szenarios gebildet, die je nach Event in andere Zustände übergehen. Jetzt fehlt noch das Modul, das die Reaktionen liefert. d) Response Library: Neben dem Loggen können weitere Response Module geladen werden ( Paging des Admins, Rekonfiguration der FW, Schließen der Verbindung etc)

13 Meta-STAT - Architektur
MetaSTAT Infrastruktur ist die Kommunikations- und Kontrollstruktur, um die Aktivitäten der Sensoren zu koordinieren. Idee: „Web of Sensors“, verteilte Überwachung anstatt an einer einzelnen Stelle hostbasiert und netzbasiert Jeder „Meta-Sensor“ ist für eine Teilmenge von Sensoren verantwortlich Vorteil: Netzwerktopologien und Kommunkationsbeziehungen können besser abgebildet und kontrolliert werden. MetaStat Infrastruktur CommSTAT Infrastruktur erlaubt sichere Kommunikation (Alarme, Kontroll-Anweisungen) (über Intrusion Detection Message Exchange Format (IDMEF), erweitert) MetaSTAT Controller zur Steuerung und Konfiguration der Sensoren MetaStAT Configurator mit Modul- und Sensoren-Datenbank, hat Informationen über Abhängigkeiten der Module MetaSTAT Collector sammelt eingehende Nachrichten der Sensoren MetaSTAT Viewer: GUI zur Auswertung der Daten des MetaSTAT Collectors

14 Einschätzung State Transition Analysis Technique erweitert die Möglichkeiten wissensbasierter IDS Teilweise sind die einzelnen Elemente noch nicht verfügbar und noch in der Entwicklung Forensik? Anwenderfreundlichkeit? GUI scheint das Hauptproblem zu sein Problematik der Dual-homed Hosts bei hostbasierten Sensoren? Leistungsfähigkeit bei Last?

15 Repräsentation der Attacke

16 STAT: 2.Beispiel Syn Flooding

Herunterladen ppt "Framework für ein Intrusion Detection System"

Ähnliche Präsentationen

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
1 Workshop: Grundlagen des IT-Projektmanagements - Version 3.0 - 01/2004Modul: Aufwand – Ergänzung FP Copyright: Dr. Klaus Röber Modul Ergänzungen zur.

1 Workshop: Grundlagen des IT-Projektmanagements - Version /2004Modul: Aufwand – Ergänzung FP Copyright: Dr. Klaus Röber Modul Ergänzungen zur.
Inkrementelle Entwicklung von virtuellen Kooperationsstrukturen

Inkrementelle Entwicklung von virtuellen Kooperationsstrukturen
Thema: Sicherheitsarchitektur für mobiles Arbeiten

Thema: Sicherheitsarchitektur für mobiles Arbeiten
Eine Page von Fachinformatikern für Fachinformatiker

Eine Page von Fachinformatikern für Fachinformatiker
Copyright atsec information security, 2006 The information security provider Wireless Intrusion Detection und Prevention Systeme – Ein Überblick Matthias.

Copyright atsec information security, 2006 The information security provider Wireless Intrusion Detection und Prevention Systeme – Ein Überblick Matthias.
Firewalls.

Firewalls.
Hauptseminar Modellüberprüfung Kathrin Ott

Hauptseminar Modellüberprüfung Kathrin Ott
Replikationsarchitekturen Informationsverwaltung von Netzen Sommersemester 2003 Konrad Kretschmer

Replikationsarchitekturen Informationsverwaltung von Netzen Sommersemester 2003 Konrad Kretschmer
FI Knowledge Base Eine Page von Fachinformatikern für Fachinformatiker.

FI Knowledge Base Eine Page von Fachinformatikern für Fachinformatiker.
Datenbankzugriff im WWW (Kommerzielle Systeme)

Datenbankzugriff im WWW (Kommerzielle Systeme)
Anwendungsfalldiagramm

Anwendungsfalldiagramm
On a Buzzword: Hierachical Structure David Parnas.

On a Buzzword: Hierachical Structure David Parnas.
ATHOS Benutzertreffen 12. November 2008 - 1 Auswerteserver Glashütten, 12. November 2008 HighQSoft GmbH, Andreas Hofmann

ATHOS Benutzertreffen 12. November Auswerteserver Glashütten, 12. November 2008 HighQSoft GmbH, Andreas Hofmann
XINDICE The Apache XML Project Name: Jacqueline Langhorst

XINDICE The Apache XML Project Name: Jacqueline Langhorst
Geschichte und Funktion des Internets.

Geschichte und Funktion des Internets.
Rigi und Web2Rsf vorgestellt von Tobias Weigand. Inhalt Ziel von Web2Rsf und Rigi Vorstellung des Parsers Web2Rsf Vorstellung des Werkzeugs Rigi Analyse.

Rigi und Web2Rsf vorgestellt von Tobias Weigand. Inhalt Ziel von Web2Rsf und Rigi Vorstellung des Parsers Web2Rsf Vorstellung des Werkzeugs Rigi Analyse.
Aufgaben eines IT-Koordinators

Aufgaben eines IT-Koordinators
WhatsUp Gold 04.06.01.

WhatsUp Gold
Angriffe erkennen und abwehren - Intrusion Protection im Einsatz

Angriffe erkennen und abwehren - Intrusion Protection im Einsatz

Ähnliche Präsentationen

Google-Anzeigen