Seit Beginn des Jahres 2004 wird am Lehrstuhl Rechnernetze und Kommunikationssysteme das Forschungsvorhaben "Systematische Ableitung von Signaturen aus Exploits" durchgeführt. Träger des Vorhabens ist die Deutsche Forschungsgemeinschaft (DFG), die das Projekt im Rahmen des Schwerpunktprogramms "Sicherheit in der Informations- und Kommunikationstechnik" fördert.

Seitens des Lehrstuhls stehen die inhaltlichen Arbeiten des Projekts unter der Leitung von Prof. Dr. Hartmut König und werden hauptsächlich von Oleksey Komar und Michael Meier vorgenommen.

Im Weiteren finden sich folgende Informationen:

• Kurzbeschreibung
• Zielstellung
• Kooperationspartner

Intrusion-Detection-Systeme sind ein wichtiges Instrument für den Schutz informationstechnischer Ressourcen. Ihnen kommt als Grundlage reaktiverSicherheitsmechanismen eine wachsende Bedeutung zu. In Ergänzung präventiver Sicherheitsmechanismen ermöglichen sie eine automatische Erkennung und ggf. auch eine Abwehr von IT-Sicherheitsverletzungen. Das Forschungsvorhaben konzentriert sich auf den Bereich der Signaturanalyse. Die Wirksamkeit der Signaturanalyse hängt entscheidend von der Genauigkeit der verwendeten Signaturen ab. Ungenaue Signaturen schränken die Erkennungsmächtigkeit der Intrusion-Detection-Systeme stark ein und führen u. a. zu Fehlalarmen. Die Ursachen der Erkennungsunsicherheit sind nur teilweise in qualitativen Einschränkungen der Audit-Funktionen zu suchen. Die Ableitung der Signaturen aus gegebenen Exploits ist häufig der entscheidende Schwachpunkt. Ihre Ableitung erfolgt zumeist empirisch. Ziel des Projekts ist die Entwicklung von Verfahren für eine systematische Ableitung von Signaturen aus Exploits. Damit sollen vor allem der empirische Anteil bei der Ableitung der Signaturen als auch der Entwicklungsaufwand reduziert werden. Für die Validierung der Signaturen sollen Signaturtests entwickelt werden.

Ziel des Projekts ist die Entwicklung von Verfahren für eine systematische Ableitung von Signaturen aus Exploits. Die Entwicklung solcher Methoden ist notwendig, um die Wirksamkeit, Flexibilität und die Erkennungsgenauigkeit von Intrusion-Detection-Systemen zu erhöhen. Sie ist eine wesentliche Voraussetzung für die Verbesserung der Praktikabilität der Intrusion-Detection-Technologie. Die Untersuchungen widmen sich dabei weniger technischen Aspekten der Intrusion-Detection-Systeme selber, sondern konzentrieren sich auf den bisher wenig betrachteten Aspekt der Signaturentwicklung. Mit den geplanten Arbeiten werden zwei wesentliche Zielstellungen verfolgt:

1. Reduzierung des empirischen Anteils in der Signaturableitung. Durch ein systematisches Vorgehen bei der Ableitung sollen möglichst exakte Signaturen erzeugt werden, die eine möglichst geringe Erkennungsunsicherheit (Fehlalarme und nicht erkannte Sicherheitsverletzungen) besitzen.
2. Reduzierung der Entwicklungszeiten für Signaturen. Kürzere Entwicklungszeiten erlauben eine schnellere Aktualisierung der Intrusion-Detection-Systeme bezüglich neu erkannter Sicherheitsverletzungen, um die Verwundbarkeitsintervalle der überwachten Systeme möglichst gering zu halten.

Für ein systematisches Vorgehen bei der Signaturableitung müssen zwei Bereiche betrachtet werden: die Entwicklung von Ableitungsmethoden und die Validierung der erzeugten Signaturen.

Entwicklung von Ableitungsmethoden: Ein Ansatzpunkt für die systematische Signaturableitung sind Techniken und Methoden der Softwaretechnik. Es werden drei komplementäre Ansätze verfolgt: die Ableitung von Attackeninvarianten, die Nutzung einer abstrakten Zwischendarstellung und die Bestimmung von Abbruchereignissen.

Die Ableitung von Attackeninvarianten zielt auf die Identifikation von Merkmalen eines Exploits, die nicht verändert werden dürfen, um die Attacke durchführen zu können. Damit sollen jene Merkmale einer Sicherheitsverletzung erfasst werden, die in allen Varianten eines Exploits enthalten sein müssen, um eine Attacke erfolgreich auszuführen.

Die Verwendung einer abstrakten Zwischendarstellung soll die Erkennung der Attacken-Manifestierungen erleichtern. Die Zwischendarstellung wird aus dem Exploit abgeleitet und bildet quasi einen ?künstlichen Audit-Trail?, aus dem unter Verwendung von Methoden, wie sie ähnlich in der Definitionsphase der Softwareentwicklung genutzt werden, das Skelett der Signatur identifiziert werden soll.

Für die Vermeidung von Fehlalarmen ist die Bestimmung von Abbruchereignissenvon besonderer Bedeutung. Es werden Techniken benötigt, die den Signaturentwickler bei der Erkennung dieser Ereignisse unterstützen. Dazu sollen semantische Beziehungen zwischen den Ereignissen einer IT-Umgebung untersucht werden, um insbesondere konträre Ereignisse zu identifizieren, die in vielen Fällen Abbruchereignisse der Signatur darstellen.

Es wird angestrebt, dass die zu entwickelnden Methoden in Form von Werkzeugen zumindest teilweise unterstützt werden können. Diese Werkzeuge sollen prototypisch implementiert werden.

Validierung der Signaturen: Die abgeleiteten Signaturen müssen auf ihre Sinnfälligkeit überprüft werden, um festzustellen, ob die Signaturen die vorgegebenen Attacken wirklich erkennen und welche Erkennungssicherheit sie besitzen. Für die Validierung sollen Signaturtests genutzt werden, in denen die abgeleiteten Signaturen gegen die Exploits und insbesondere auch gegen Varianten dieser Exploits getestet werden. Es ist eine Methodik für Signaturtests zu entwickeln, die Verfahren für die Ableitung von Testfällen, die Durchführung der Tests und ihre Auswertung umfasst.

Die entwickelten Ableitungs- und Validierungsverfahren sollen abschließend zu einer Methodik für die Signaturableitung zusammengefasst werden. Die Anwendbarkeit und Praktikabilität der Methodik soll in einer Fallstudie nachgewiesen werden. Dazu soll für eine Testumgebung, z.B. für das Betriebssystem Solaris, eine möglichst breite Menge von Attacken und Exploits ausgewählt werden, aus denen unter Verwendung der entwickelten Techniken Signaturen abgeleitet werden und ihre Erkennungssicherheit getestet werden.

Die Arbeiten des Forschungsvorhabens finden, wie bereits erwähnt, im Rahmen des DFG-Schwerpunktprogramms "Sicherheit in der Informations- und Kommunikationstechnik" statt. Mit einigen der am Schwerpunktprogramm teilnehmenden Projektteams besteht bereits eine vereinbarte inhaltliche Kooperation, und zwar mit:

• der Arbeitsgruppe "Informationssysteme und Sicherheit" (ISSI) des Lehrstuhls VI (Informationssysteme) des Fachbereichs Informatik (FBI) an der Universität Dortmund (Leiter: Prof. Dr. Joachim Biskup, Kooperation zwecks Integration des Dortmunder Pseudonymisierungskonzepts in das Cottbuser Intrusion-Detection-System)

Darüber hinausgehend werden weitere Kooperationspartnerschaften angestrebt. Außerdem sind sämtliche Hinweise, Kritiken und sonstigen Anmerkungen, die im Zusammenhang mit dem Forschungsvorhaben stehen, selbstverständlich jederzeit herzlich willkommen.