Von Februar 1994 bis April 1996 wurde am Lehrstuhl Rechnernetze und Kommunikationssysteme das Forschungsvorhaben "AID (Adaptive Intrusion Detection system) - ein System zur Echtzeiterkennung von Angriffen in Netzen" durchgeführt.Träger des Vorhabens war das Ministerium für Wissenschaft, Forschung und Kultur (MWFK)des Bundeslandes Brandenburg.Seitens des Lehrstuhls wurden die inhaltlichen Arbeiten im Wesentlichen von Michael Sobirey und Birk Richter vorgenommen.

Wichtigstes Ergebnis des Forschungsprojekts war der funktionsfähige Prototyp des bereits die Bezeichnung des Vorhabens prägenden Intrusion-Detection-Systems AID.Mit seiner Hilfe wurde die Erprobung und Bewertung innovativer Ansätze zur Lösung von Teilproblemen des Themenkomplexes der automatischen Erkennung von IT-Sicherheitsverletzungen, d.h. der Thematik Intrusion Detection, überhaupt erst ermöglicht (vgl. auch thematische Schwerpunkte der Forschungsgruppe).Beispiele derartiger Ansätze sind die im Rahmen des Projekts erarbeiteten Konzepte des pseudonymen Auditund des Host-orientierten Netz-Audit (HoNA).

Im Weiteren finden sich folgende Informationen:

• Entwicklungsziele
• Architektur
• Funktionsweise
• Konzept des pseudonymen Audit
• Konzept des Host-orientierten Netz-Audit
• Performance
• Ausgewählte Veröffentlichungen

Der Entwicklung von AID wurden folgende Zielstellungen vorgegeben:

• Fähigkeit zur Überwachung heterogener lokaler Netze
• Analyse von Betriebssystem- und Netz-Audit-Daten
• Einsatz eines Expertensystems zur Durchführung einer Signaturerkennung (Erkennung wohldefinierter Muster von IT-Sicherheitsverletzungen)
• Verwendung einer adaptiven neuronalen Auswertungskomponente für eine ergänzende Anomaliedetektion (Finden von Abweichungen gegenüber Profilen des als normal angesehenen Nutzer- oder Systemverhaltens)
• Berücksichtigung von Vorgaben des Datenschutzes bei der Verarbeitung der Audit-Daten

AID stellt aus architektureller Sicht ein verteiltes Intrusion-Detection-System (IDS) dar.Die im Rahmen des Forschungsvorhabens entwickelte Version besteht im Wesentlichen aus einer zentralen Auswertungseinheit und Monitoring-Agenten auf den zu überwachenden Rechnern (vgl. Abbildung 1).Auswertungseinheit und Agenten interagieren dabei nach dem Client-Server-Prinzip, d.h., die Auswertungseinheit (Client) ruft die jeweils bereitstehenden Daten der Monitoring-Agenten (Server) ab, sobald sie zu deren Verarbeitung in der Lage ist.

Abbildung 1: Architektur

Durch die Verwendung betriebssystemspezifischer Monitoring-Agenten ist AID grundsätzlich in der Lage, die Überwachung von Rechnern eines heterogenen lokalen Netzes durchzuführen.Für den ersten Prototyp wurden Agenten entwickelt, die unter Solaris 2.x lauffähig und in der Lage sind, die vom Basic Security Module (BSM) dieses Betriebssystems generierten Audit-Daten zu erfassen.Die zentrale Auswertungskomponente wurde ebenfalls für Solaris 2.x implementiert.

Die Monitoring-Agenten von AID erfassen die auf den Rechnern anfallenden Audit-Daten, führen eine geeignete Vorverarbeitung (u.a. Filterung, Datenanreicherung und Typkonvertierung) durch und transferieren die dann in einem betriebssystemunabhängigen Format vorliegenden Daten auf Anforderung zu der zentralen Auswertungseinheit.Der Rechner, auf dem diese Auswertungseinheit läuft, kann ebenfalls einen aktiven Agenten aufweisen.Der Datentransfer erfolgt mittels Secure RPC (Remote Procedure Call).Er wird von einer speziell für diesen Zweck konzipierten Teilkomponente der Auswertungseinheit, dem Manager, in Form eines lastabhängigen Polling-Verfahrens gesteuert.

Die Analyse der vorverarbeiteten Audit-Daten erfolgt mit Hilfe eines echtzeitfähigen Expertensystems.Dieses Expertensystem besteht im Kern aus einem schnellen Inferenzmechanismus und einer durch die Übersetzung spezieller Regeln gewonnenen Wissensbasis.Die Regeln beschreiben dabei die Zustandsübergänge endlicher deterministischer Automaten, die wiederum der Modellierung der IT-Sicherheitsverletzungen beschreibenden Signaturen dienen.Die durch das System erkannten Sicherheitsverletzungen werden neben anderen wichtigen Informationen sowohl auf einer graphischen Benutzeroberfläche dargestellt als auch protokollarisch archiviert.Wie die Bezeichnung des Intrusion-Detection-Systems (AID) andeutet, wurde ursprünglich auch die Integration einer adaptiven, d.h. lernfähigen Komponente zur Anomalieerkennung ins Auge gefaßt.Diese Entwicklung mußte jedoch im Verlauf des Projekts zugunsten der Konzipierung und Implementierung der nachfolgend beschriebenen, neuartigen Ansätze zurückgestellt werden.Diese Ansätze bieten Lösungen für besonders im praktischen Einsatz signifikante Teilprobleme an, die im Kontext von Intrusion Detection existieren.

Um eine Reihe sicherheitsrelevanter Aktionen konkreten Benutzern zuordnen zu können (Gewährleistung der Zurechenbarkeit), enthalten Audit-Datensätze nutzeridentifizierende Informationen, wie beispielsweise Benutzernamen oder numerische Benutzeridentifikatoren.Derartige Informationen sind aus Sicht deutscher Datenschutzgesetze personenbezogene Daten.Eine Speicherung und Verarbeitung von Audit-Daten birgt somit die Gefahr der Verletzung der Privatsphäre der überwachten Nutzer in sich, indem beispielsweise Nachweise der Durchführung bestimmter rechnerunterstützter Tätigkeiten erhoben oder äußerst detaillierter Leistungsprofile erstellt werden können.Der Charakter Audit-basierter Intrusion-Detection-Systeme ist daher aus datenschutzrechtlicher Position zwiespältig.Einerseits sind sie in der Lage, einen bedeutenden Beitrag zum Schutz wichtiger informationstechnischer Ressourcen, und damit auch zum Schutz personenbezogener Informationen, zu leisten, andererseits gilt es, den Mißbrauch der notwendigerweise zu verarbeitenden, personenbezogenen Daten wirksam zu verhindern.

Dieses Problem wurde im Rahmen des hier dargestellten Forschungsvorhabens grundlegend analysiert.Sämtliche Arbeiten standen dabei unter der Federführung von Michael Sobirey.Es fand u.a. eine Umfrage statt, die eine Abschätzung der Akzeptanz automatischer Überwachungskomponenten an Computerarbeitsplätzen zum Ziel hatte.Ergebnis der Umfrage war, daß das Wissen, permanent durch ein personenbezogene Daten verarbeitendes IDS kontrolliert zu werden, zu negativen psychologischen Befindlichkeiten bei den Nutzern führt.Der Einsatz derartiger Systeme würde daher auf einen breiten juristischen Widerstand der Betroffenen sowie ihrer Interessenvertreter (z.B. der Personalräte) stoßen.

Eine sozial und rechtlich akzeptable Lösung dieses Problems bietet das Konzept des pseudonymen Audit.Es sieht vor, daß benutzeridentifizierende Daten in Audit-Records durch Pseudonyme, deren Generierung in der Regel mit Hilfe kryptographischer Verfahren erfolgt, ersetzt werden.In dieser pseudonymen Repräsentation werden die Audit-Daten dann durch die jeweilige Auswertungseinheit analysiert.Eine Depseudonymisierung erfolgt nur, wenn berechtigte Verdachtsmomente gegen einen Benutzer vorliegen, für eine IT-Sicherheitsverletzung verantwortlich zu sein (vgl. Abbildung 2).

Abbildung 2: Konzept des pseudonymen Audit

Mit diesem Konzept konnte ein wesentliches rechtliches Hindernis für den breiten Einsatz von Intrusion-Detection-Systemen überwunden werden.Außerdem wurden grundlegende sicherheitsfunktionale Anforderungen an die Gestaltung des pseudonymen Audit definiert.Diese fanden im Anschluß auch teilweise Eingang in internationale IT-Sicherheitskriterien (genauer: in die Common Criteria Version 2.0).

Für AID erfolgte eine prototypische Umsetzung des Konzepts des pseudonymen Audit.Der Prototyp beinhaltet die Pseudonymisierung und Depseudonymisierung von Audit-Daten des Betriebssystems Solaris 2.x.Die Audit-Daten weiterer potentieller Systeme wurden im Rahmen dieses Projekts nicht untersucht.Als zusätzliche Arbeit erfolgte die konzeptuelle Entwicklung und der prototypische Test des für die Realisierung des pseudonymen Audit notwendigen Schlüsselmanagements.

Für die Überwachung von Netzwerken wird nach konventioneller Vorgehensweise von einem einzelnen Rechner aus der gesamte auf dem Übertragungsmedium ablaufende Datenverkehr protokolliert.Dieser Ansatz erlaubt zwar die lückenlose Überwachung der meisten herkömmlichen Rechnernetze, erweist sich jedoch im Kontext moderner Netzwerkrealisierungen als nicht mehr anwendbar.Durch die Verwendung von Switching-Technologien ist der gesamte Datenverkehr eines Netzes für einen einzelnen Rechner nicht mehr sichtbar.In Netzen mit hoher Bandbreite ist ein einzelner Rechner auf Grund seiner Leistungsgrenzen unter Umständen nicht in der Lage, den gesamten Datenverkehr zu analysieren.Werden Datenpakete verschlüsselt übertragen, wie dies z.B. mit IPsec möglich ist, sind sie für einen klassischen Netzmonitor (Sniffer) nicht interpretierbar.

Mit dem Host-orientierten Netz-Audit (HoNA) wurde ein Ansatz entwickelt, der die beschriebenen Probleme überwindet.Hierbei werden auf dem jeweiligen Rechner Audit-Nachrichten generiert, die mit dem Senden oder dem Empfang von Datenpaketen in Beziehung stehen.Dies erfolgt durch im betreffenden Protokollstack befindliche Netzmonitore (vgl. Abbildung 3).Je nach Notwendigkeit werden dann die überwachungsrelevanten Daten einzelner Protokollschichten erfaßt.

Abbildung 3: Konzept des Host-orientierten Netz-Audit

Eine erste prototypische Realisierung dieses Konzepts wurde im Kontext der Entwicklung von AID vorgenommen.Sie beinhaltet die Modifikation des TCP/IP-Stacks des Betriebssystems Solaris 2.x.Sowohl die Konzipierung als auch die prototypische Implementierung von HoNA sind das Verdienst von Birk Richter.

Der im Verlauf des Forschungsvorhabens entwickelte Prototyp ist in der Lage, ein aus mehreren Rechnern bestehendes lokales Netz auf der Grundlage von Solaris-Audit-Daten zu überwachen.Messungen ergaben, daß AID in der Lage ist, ca. 2,5 MByte Audit-Daten pro Minute auszuwerten.Die Inferenzmaschine des Expertensystems kann bis zu 12.000 Regeln pro Minute abarbeiten.

Abschätzungen hinsichtlich der Anzahl überwachbarer Rechner müssen immer auf der Grundlage aktueller Gegebenheiten in konkreten Einsatzumgebungen vorgenommen werden.Primäres Kriterium ist die Größe des maximal zulässigen Zeitintervalls für die Analyse neu generierter Audit-Daten.Davon ausgehend sind das zu erwartende Aufkommen an Audit-Daten sowie die zu erwartenden Übertragungsraten, die letztlich von der Netzbelastung abhängen, zu berücksichtigen.Entscheidend für das lokale Aufkommen an Audit-Daten sind u.a. die folgenden Faktoren:

• die Funktionen der überwachten Rechner im Netz (z.B. einfache Arbeitsstation, File-, Mail-, WWW- oder FTP-Server, Router, Firewall)
• die Anzahl aktiver Benutzer
• die Anzahl aktiver Prozesse und deren Intensität hinsichtlich der Inanspruchnahme diverser Ressourcen (z.B. CPU, RAM, Festplatten)

Die zu überwachenden Rechner müssen selbstverständlich in der Lage sein, die durch die lokalen Audit-Funktionen und die AID-Monitoring-Agenten verursachten Belastungen zu verkraften.Laufen diese Rechner im unüberwachten Zustand bereits am Leistungslimit, ist eine Aufrüstung der notwendigen Hardware unumgänglich.Gleiches gilt für die Datenübertragungskapazität der Netzwerkverbindungen.

Während des Forschungsvorhabens wurden mehrere Veröffentlichungen erstellt.Im Zusammenhang mit AID sind insbesondere diese Beiträge zu nennen:

1997:

Sobirey, Michael ; Fischer-Hübner, Simone ; Rannenberg, Kai: Pseudonymous Audit for Privacy Enhanced Intrusion Detection. In: Yngström, Louise (Hrsg.) ; Carlsen, Jan (Hrsg.): Information Security in Research and Business, Proceedings of the IFIP TC11 13th International Information Security Conference (SEC97): 14-16 May 1997, Copenhagen, Denmark. London, Chapman & Hall, 1997, ISBN 0-412-8178-02, S. 151-163

Richter, Birk ; Sobirey, Michael ; König, Hartmut: Host-orientiertes Netz-Audit. In: Zitterbart, Martina (Hrsg.): Kommunikation in Verteilten Systemen, GI/ITG-Fachtagung, Braunschweig 19.-21. Februar 1997. Berlin, Springer, 1997, ISBN 3-540-62565-8, S. 48-61

1996:

Sobirey, Michael ; Richter, Birk ; König, Hartmut: The Intrusion Detection System AID - Architecture, and experiences in automated audit analysis. In: Horster, Patrick (Hrsg.): Proceedings of the IFIP TC6/TC11 International Conference on Communications and Multimedia Security at Essen, Germany, 23rd - 24th September 1996. London, Chapman & Hall, 1996, S. 278-290

Richter, Birk ; Sobirey, Michael ; König, Hartmut: Auditbasierte Netzüberwachung. In: Praxis der Informationsverarbeitung und Kommunikation 19 (1996), Nr. 1, S. 24-32

Sobirey, Michael: Auditgestützte Einbruchserkennung in Netzen, Ergebnisse aus dem Projekt AID (Adaptive Intrusion Detection system). In: Müller, Günter (Hrsg.) ; Kubicek, Herbert (Hrsg.) ; Klumpp, Dieter (Hrsg.) ; Neumann, Karl-Heinz (Hrsg.) ; Raubold, Eckart (Hrsg.) ; Roßnagel, Alexander (Hrsg.): Jahrbuch Telekommunikation und Gesellschaft 1996, Öffnung der Telekommunikation: Neue Spieler - Neue Regeln. Heidelberg, R. v. Deckers Verlag, 1996, S. 284-286

1995:

Sobirey, Michael: Aktuelle Anforderungen an Intrusion Detection-Systeme und deren Berücksichtigung bei der Systemgestaltung von AID2. In: Brüggemann, Hans H. (Hrsg.) ; Gerhardt-Häckl, Waltraud (Hrsg.): Verläßliche IT-Systeme, Proceedings der GI-Fachtagung VIS95. Braunschweig, Vieweg, 1995, ISBN 3-528-05483-2, S. 351-370

Sobirey, Michael ; Richter, Birk: Automatisierte Auditanalyse mit AID. Köln, German UNIX User Group, Frühjahrsfachgespräch, 1995

Sobirey, Michael ; Meier, Michael: Ein Expertensystem zur Erkennung von Angriffen in LAN. München, Talarian Corporation, 1. Workshop der RTworks-Anwender, 1995