Seit Beginn des Jahres 2000 wird am Lehrstuhl Rechnernetze und Kommunikationssysteme das Forschungsvorhaben "Effiziente Intrusion Detection in heterogenen Rechnernetzen - verläßliche Bausteine und Infrastrukturen" durchgeführt.Träger des Vorhabens ist die Deutsche Forschungsgemeinschaft (DFG),die das Projekt im Rahmen des Schwerpunktprogramms "Sicherheit in der Informations- und Kommunikationstechnik" fördert.

Seitens des Lehrstuhls stehen die inhaltlichen Arbeiten des Projekts unter der Leitung von Prof. Dr. Hartmut Königund werden hauptsächlich von Michael Meier und Thomas Holz vorgenommen.Des weiteren sorgt Niels Bischof als studentischer Mitarbeiter für die Erstellung wesentlicher thematischer Beiträge.

Im Rahmen dieses Vorhabens finden die seit 1993 stattfindenden Forschungsaktivitäten auf dem Gebiet der automatischen Erkennung von IT-Sicherheitsverletzungen, d.h. auf dem Gebiet Intrusion Detection, ihre Fortsetzung.Nachdem als Ergebnis des Projekts "AID (Adaptive Intrusion Detection system) - ein System zur Echtzeiterkennung von Angriffen in Netzen" ein funktionsfähiger Prototyp eines verteilten Intrusion-Detection-Systems, der auch als Basis der Konzipierung und Implementierung innovativer technologischer Ansätze diente, zur Verfügung stand,konnten insbesondere im Verlauf des Forschungsvorhabens "Intrusion Detection in lokalen Netzen" zahlreiche praxisrelevante Erfahrungen, den Einsatz eines derartigen IDS betreffend, gewonnen werden.Als ein wesentliches Resultat trat hier die grundlegende Erkenntnis zutage, dass bei einer einigermaßen anspruchsvollen Überwachung heutiger lokaler Rechnernetze von einer mit dem Aufkommen der zu verarbeitenden Protokolldaten Schritt haltenden Analysegeschwindigkeit nicht die Rede sein kann.Insbesondere in Situationen, in denen innerhalb kurzer Zeitintervalle sehr viele Protokolldaten, wie beispielsweise Audit-Daten, generiert werden, verzögert sich die vollständige Auswertung dieser Daten mitunter gravierend.Dieser Umstand hat dann grundsätzliche Einschränkungen der Wirksamkeit von Intrusion-Detection-Systemen in vielen denkbaren Einsatzszenarien zur Folge.Besonders trifft dies auf sicherheitskritische Umgebungen zu, in denen sofortige Intrusion-Response-Maßnahmen notwendig sind.

Das allgemeine Ziel des hier stattfindenden Projekts ist es nun, Wege zur Lösung dieses elementaren Problems zu finden und hinsichtlich ihrer praktischen Realisierbarkeit zu bewerten.Es ist nach Konzepten und Verfahren zu suchen, die eine spürbare Steigerung der Effizienz verteilter, für lokale Rechnernetze geeigneter Intrusion-Detection-Systeme ermöglichen.Unter dem Begriff der "Effizienz" soll in diesem Zusammenhang das Merkmal einer "schnellen Erkennung von IT-Sicherheitsverletzungen" verstanden werden.Es wird eine Minimierung der jeweiligen Zeitabstände zwischen dem tatsächlichen Auftreten einer Sicherheitsverletzung und ihrer Erkennung durch das IDS angestrebt.Dies ist auch ein messbares Kriterium.

Wichtige Ansatzpunkte für eine Erhöhung der Intrusion-Detection-Effizienz sind sowohl eine clevere Realisierung der für ein IDS notwendigen Bausteine als auch die geeignete Gestaltung des Zusammenwirkens dieser Bausteine.Dabei sind jedoch auch grundlegende verfahrenstechnische Erfordernisse bestimmter notwendiger, gleichzeitig aber auch aufwendiger Zusatzfunktionen zu berücksichtigen.Solche Zusatzfunktionen sorgen u.a. dafür, dass das resultierende Intrusion-Detection-System bestimmten Anforderungen der mehrseitigen Sicherheit gerecht wird.Hier betrifft das zum Beispiel eine integrierte Lösung aus dem Konzept des pseudonymen Audit,dem von einem Kooperationspartner entwickelten Pseudonymisierungskonzept sowiedem im Rahmen des kryptographischen Subsystems erforderlichen Schlüsselmanagement.

Im Weiteren finden sich folgende Informationen:

• Entwicklungsziele
• Arbeitspakete
• Kooperationspartner

Im Kontext des Forschungsvorhabens werden mehrere voneinander abhängige Zielstellungen verfolgt.Diese leiten sich unmittelbar aus den oben beschriebenen Ansatzpunkten, die eine Verbesserung der Effizienz verteilter Intrusion-Detection-Systeme im Vergleich zu bislang existierenden Lösungen bewirken sollen, ab.Es existieren folgende untergeordnete Aufgabenbereiche:

• Gestaltung von Protokollierungs- und insbesondere Audit-Funktionen mit der Prämisse der bestmöglichen Erkennbarkeit von IT-Sicherheitsverletzungen und unter der Berücksichtigung von Anforderungen der mehrseitigen Sicherheit
• Entwicklung effizienter Verfahren zur Analyse der durch Protokollierungs- und speziell Audit-Funktionen generierten Daten
• Herausarbeitung und Test von für ausgewählte Zielumgebungen wirksamen Intrusion-Response-Mechanismen
• Konzipierung, prototypische Implementierung und Test einer verteilten, flexiblen und effizienten Intrusion-Detection-Infrastruktur
• Untersuchung der Angreifbarkeit der verteilten Intrusion-Detection-Infrastruktur, Ableitung von Möglichkeiten des Selbstschutzes und prototypischer Test entsprechender Funktionen

Die Realisierung der genannten Entwicklungsziele erfordert ein breites Spektrum notwendiger Forschungsaktivitäten.Schätzungen zufolge wird die Erfüllung sämtlicher Aufgaben einen Aufwand von sechs bis acht Mannjahren beanspruchen.In der momentanen Phase des Projekts wird daher nur ein Teil der insgesamt anstehenden Arbeiten vorgenommen.Dazu gehören im Einzelnen:

• die detaillierte Analyse und kritische Bewertung der Audit-Funktionen der Betriebssysteme Windows 2000 und Linux
• eine Erweiterung dieser Audit-Funktionen mit Hilfe spezieller Sensoren, die nach dem Konzept des Host-orientierten Netz-Audit wirken
• der konzeptuelle Entwurf von HEIDI (engl. High-Efficient Intrusion Detection Infrastructure), einer aus intelligenten Agenten bestehenden Infrastruktur, die die Ableitung unterschiedlicher Intrusion-Detection-Architekturen ermöglicht
• die beginnende prototypische Umsetzung von HEIDI
• die Spezifikation einer deskriptiven Sprache zur leichten Beschreibung und Modellierung von IT-Sicherheitsverletzungen (vorläufige Bezeichnung: SHEDEL, engl. Simple Hierarchical Event Description Language)
• die Entwicklung eines SHEDEL-Compilers
• eine Untersuchung bekannter Inferenzalgorithmen im Hinblick auf ihre Eignung zur schnellen Verarbeitung des vom SHEDEL-Compiler generierten Codes
• die Entwicklung eines daraus abgeleiteten, den Gegebenheiten des hier vorliegenden Szenarios angepassten und vor allem effizienten Inferenzverfahrens (vorläufige Bezeichnung: StraFER, engl. Straight Forward Event Recognition), das den Kern der Analysefunktionalität der intelligenten HEIDI-Agenten darstellt

Die Arbeiten des Forschungsvorhabens finden, wie bereits erwähnt, im Rahmen des DFG-Schwerpunktprogramms "Sicherheit in der Informations- und Kommunikationstechnik" statt.Mit einigen der am Schwerpunktprogramm teilnehmenden Projektteams besteht bereits eine vereinbarte inhaltliche Kooperation, und zwar mit:

• der Arbeitsgruppe "Informationssysteme und Sicherheit" (ISSI)des Lehrstuhls VI (Informationssysteme)des Fachbereichs Informatik (FBI)an der Universität Dortmund(Leiter: Prof. Dr. Joachim Biskup, Kooperation zwecks Integration des Dortmunder Pseudonymisierungskonzepts in das Cottbuser Intrusion-Detection-System)
• dem Lehrstuhl für Datenverarbeitungder Technischen Universität München(Leiter: Univ.-Prof. Dr. techn. Joachim Swoboda, Kooperation im Hinblick auf die Entwicklung einer Schnittstelle zwischen dem Münchner Sicherheitsmanagement und dem Cottbuser Intrusion-Detection-System)

Darüber hinausgehend werden weitere Kooperationspartnerschaften angestrebt.Außerdem sind sämtliche Hinweise, Kritiken und sonstigen Anmerkungen, die im Zusammenhang mit dem Forschungsvorhaben stehen, selbstverständlich jederzeit herzlich willkommen.