DE102005049561A1 - Verfahren zur automatischen Erkennung von Anomalien in Weitverkehrsnetzen (WAN) und lokalen Netzen (LAN) - Google Patents

Verfahren zur automatischen Erkennung von Anomalien in Weitverkehrsnetzen (WAN) und lokalen Netzen (LAN) Download PDF

Info

Publication number
DE102005049561A1
DE102005049561A1 DE102005049561A DE102005049561A DE102005049561A1 DE 102005049561 A1 DE102005049561 A1 DE 102005049561A1 DE 102005049561 A DE102005049561 A DE 102005049561A DE 102005049561 A DE102005049561 A DE 102005049561A DE 102005049561 A1 DE102005049561 A1 DE 102005049561A1
Authority
DE
Germany
Prior art keywords
network
anomalies
attacks
automatic
cluster
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102005049561A
Other languages
English (en)
Inventor
Achim Müller
Sahin Albayrak
Udo Bub
Peter Feil
Marcin Solarski
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Technische Universitaet Berlin
Deutsche Telekom AG
Original Assignee
Technische Universitaet Berlin
Deutsche Telekom AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Technische Universitaet Berlin, Deutsche Telekom AG filed Critical Technische Universitaet Berlin
Priority to DE102005049561A priority Critical patent/DE102005049561A1/de
Publication of DE102005049561A1 publication Critical patent/DE102005049561A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die vorliegende Erfindung bezieht sich allgemein auf das Gebiet der Netzwerktechnik und betrifft die Erkennung von Anomalien, wie insbesondere Netzwerkangriffen, in Weitverkehrsnetzen und lokalen Netzen. DOLLAR A Erfindungsgemäß werden in kontinuierlichen Zeitabständen Netzwerkmessdaten erfasst, die geeignet sind, fortlaufend eine symbolische Darstellung der in dem zu überwachenden Netzwerk auftretenden Netzwerkaktivitäten zu generieren. Für die symbolische Darstellung der Netzwerkaktivitäten werden die erfassten Netzwerkdaten mittels Techniken des "unüberwachten Lernens" komprimiert. Im Anschluss daran werden an sich bekannte Techniken der Planerkennung (SOM) auf die in symbolischer Form erfassten Netzwerkdaten angewendet, um die dem Lernverhalten zugrunde liegenden Regeln zu erkennen. Auf der Grundlage dieses Lösungsansatzes lassen sich zukünftig Abweichungen vom "normalen" Netzverhalten nahezu in Echtzeit erkennen.

Description

  • Die vorliegende Erfindung bezieht sich allgemein auf das Gebiet der Netzwerktechnik und betrifft die Erkennung von Anomalien in Weitverkehrsnetzen und lokalen Netzen. Darunter wird insbesondere die Erkennung von Netzwerkangriffen durch böswillige Benutzer/Angreifer verstanden, die beispielsweise versuchen, einen oder mehrere Server durch einen Dienstverweigerungs-Angriff/Denial-of-Service-Attac/DoS-Angriff lahm zu legen.
  • In www.heise.de/ix/ artikel/2205/04/107 Artikel Christoph Puppe, Jörn Maier ist ausgeführt, dass die ersten Denial of Service Angriffe, die bekannt geworden sind, auf die Webseiten von Yahoo, CCN eBay Amazon und anderer Diensteanbieter erfolgten. Am 09.02. 2000 begann „Mafiaboy" seine Angriffe und sorgte eine Woche lang für massive Störungen. Am 10. März 200 brach das Vertrauen der Anleger in die Internet-Aktien zusammen und an der Börse wurden 2,7 Billionen US-Dollar vernichtet.
  • Die Folgen einer solchen Attacke sind neben einem immensen materiellen Verlust immer auch ein Vertrauensverlust der Kunden und Anleger in das angegriffene Unternehmen. Sicherheitsfragen von Computersystemen sind daher, insbesondere auch aus den o.a. Gründen, in der letzten Zeit immer wichtiger geworden. Das liegt darin begründet, dass Einerseits die Anzahl der Angriffe auf Netzwerke, und insbesondere auch auf Server, ständig zunimmt, und dass Andererseits immer mehr Computer sowohl mit Weitverkehrsnetzen (WAN), als auch mit lokalen Netzwerken (LAN), verbunden sind.
  • Primitive DoS-Angriffe belasten die Dienste eines Servers, beispielsweise HTTP, mit einer größeren Anzahl von Anfragen als dieser bearbeiten kann. Im Ergebnis wird der betroffene Server die Bearbeitung einstellen oder die regulären Anfragen so langsam beantworten dass die Beantwortung abgebrochen wird.
  • Noch effektiver in seiner Wirkung ist ein Angriff, der darauf beruht, einen Programmfehler auszunutzen um eine Fehlerfunktion in der Serversoftware auszulösen, welche dann im Ergebnis zum Absturz des Servers führt. Einem solchen Angriff kann jedoch die Grundlage durch Verbesserung der Softwareprogramme bzw. durch Vermeidung von Programmfehlern entzogen werden.
  • Erfolgt der Angriff koordiniert von einer größeren Anzahl anderer Systeme, spricht man von einem Distributet-Denial-of-Service-Angriff, DDoS-Angriff. Strategie dieser Angriffe ist es, mit Backdoor Programmen, welche sich alleine auf anderen Rechnern im Netzwerk verbreiten, dem Angreifer weitere Wirte zum Ausführen seiner Angriffe zur Verfügung zu stellen.
  • Eine besondere Form des Angriffes ist die distributed reflected denial of service Attacke DRDoS-Attacke. Bei dieser Art des Angriffes adressiert der Angreifer seine Datenpakete nicht direkt an das Opfer, sondern an regulär arbeitende Internet-Dienste. Er trägt jedoch als Absenderadresse die Adresse des Opfers ein (IP-Spoofing). Die Antworten auf diese Anfragen stellen dann für das Opfer den eigentlichen DoS-Angriff dar. Der Ursprung des Angriffs ist für das Opfer durch diese Verfahrensweise praktisch nicht mehr ermittelbar.
  • Es ist auch prinzipiell festzustellen, das nach wie vor die Anfälligkeit vor DoS-Angriffen eine der gravierendsten Schwachstelle des Internet ist.
  • Die Schwachstellen des Internets, die DoS-Angriffe erst ermöglichen, sind systemimmanent und liegen insbesondere darin begründet, das es im Internet nicht vorgesehen ist, jeden Kommunikationspartner eindeutig zu identifizieren, eine zentrale Verwaltung der Datentransfers zu bieten oder jedem Teilnehmer einen Anteil an der vorhandenen Bandbreite zu garantieren.
  • Für das Erkennen von Sicherheitsproblemen in einem Rechnernetz gibt es zwei unterschiedliche Lösungsansätze. Der erste Lösungsansatz wird als wissensbasiertes Verfahren bezeichnet. Dem wissensbasierten Verfahrensansatz liegt die Annahme zugrunde, dass dem System alle möglichen Angriffsarten bekannt sind. Für jeden Angriff gibt es eine definierte Signatur. Ein System zur Überwachung des Datenverkehrs sucht nach diesen Signaturen und identifiziert sie.
  • In US-Patentschrift 5,278,901 wird ein derartiges signaturbasiertes System beschrieben.
  • Vorteil dieses Verfahrens ist es, dass sehr selten ein falscher Alarm ausgelöst wird, d. h. die Fehlerrate ist verhältnismäßig niedrig. Der wesentliche Nachteil dieses Lösungsansatzes wird darin gesehen, dass systembedingt auch nur die Angriffe erkannt werden können, deren Signaturen bereits gespeichert sind. Gegenwärtig sind jedoch so viele Angriffe zu verzeichnen, dass die Anzahl der unterschiedlichen Signaturen sehr schnell zunimmt. Viele Signaturen sind auch so strukturiert, dass sie sich schwierig über einen Algorithmus darstellen lassen. Zwei Beispiele für Produkte, die auf dem wissensbasierten Lösungsansatz beruhen, sind NetRanger von Cisco Systems (siehe www.alliancedaracom.com/manifacturers/cisco-systems/security_vpn/ids.asp) und RealSecure von Internet Security Systems Inc. (siehe www.rioco.co.uk/products/intrusion_detektion/Datasheet_RealSecure.pdf)
  • Der zweite Lösungsansatz wird als verhaltensbasierter Ansatz bezeichnet. Er geht von der Annahme aus, dass sich das „Verhalten" eines Systems verändert, wenn ein Angriff auf das System erfolgt. Bei dem verhaltensbasierten Ansatz wird für das System ein Normalprofil definiert. Ausgehend von dem Normalprofil wird nach Abweichungen gesucht.
  • Zwei Beispiele für neue, gerade angekündigte Produkte, die auf dem verhaltensbasierten Lösungsansatz beruhen sollen, sind Cisco Guard XT 5650 (siehe www.cisco.com/en/US/products/ps5894) bzw. Cisco Traffic Anomaly Detector XT 5600 (siehe www.cisco.com/en/US/products/ps5892).
  • Für die Realisierung dieses verhaltensbasierten Lösungsansatzes können verschiedene Verfahren, z. B. statistische Verfahren, regelbasierte Systeme und neuronale Netze eingesetzt werden. Eine Art von künstlichen neuronalen Netzen stellen beispielsweise selbstorganisierende Karten (Self-Organizing Maps/SOMs oder Self-Organizing Feature Maps) dar, die nach Teuvo Kohonen auch als Kohonennetze bezeichnet werden.
  • Mittels der oben genannten Verfahren können unterschiedliche Überwachungsziele, wie beispielsweise die Benutzer des Systems, die Leistungsparameter des Rechnernetzes, die CPU-Takte usw. definiert werden. Der Hauptvorteil gegenüber dem wissensbasierten Ansatz ist, darin zu sehen, dass beim verhaltensbasierten Lösungsansatz auch unbekannte Angriffsarten erkannt werden können. Es entfällt bei diesem Lösungsansatz somit der Zwang eine Datenbank permanent mit den bekannten Signaturen aktualisieren zu müssen.
  • Der Nachteil dieses Lösungsansatzes beruht darin, dass es auch ohne einen Angriff zu Abweichungen kommen kann, die beispielsweise durch Änderungen der Benutzeraktivitäten, neue Software, neue Maschinen und neue Benutzer ausgelöst werden.
  • Die Schwierigkeit bei diesem Lösungsansatz besteht daher darin, normales Nutzerverhalten von einem böswilligen Angriff zu unterscheiden.
  • Der verhaltensbasierte Ansatz kann daher aufgrund des angewendeten Lösungsprinzips zu einer sehr hohen Anzahl von Fehlalarmen führen, die das Verfahren für den Anwender unattraktiv machen.
  • Eine weitere Lösung, die auf dem verhaltensbasierten Lösungsansatz beruht, ist aus DE 698 17 176 T2 bekannt. Bei dieser Lösung handelt es sich um ein Verfahren und eine Vorrichtung zur Eindringdetektion, vorrangig in einem Rechnersystem, das auf Ereignismustern basiert und insbesondere die Erkennung von Abweichungen von einem „normalen" Prozessverhalten und somit die Erkennung von Angriffen gegen diesen Prozess betrifft. Diese Lösung basiert
    • a) auf einem Trainingsmodus, dem eine Tabelle charakteristischer, den Prozess darstellender Muster zugrunde liegt, die das normale Verhalten eines Modellprozesses in dem Rechner definieren, durch Ausführen der Schritte – Erstellen einer ersten Ereignissequenz durch Filtern eines ersten durch den Modellprozess generierten Ereignisdatenstroms – Verwenden des Teiresias-Algorithmus zum Extrahieren von Ereignissequenzmustern, aus der ersten Ereignissequenz, wobei die Muster den Modellprozess darstellen, – Speichern der den Prozess darstellenden Muster und
    • b) auf einem Betriebsmodus, in dem aus einem realen Prozess charakteristische Muster durch Ausführen der folgenden Schritte extrahiert werden; – Erstellen einer zweiten Ereignissequenz durch Filtern eines durch den realen Prozess generierten Ereignisdatenstromes, – Vergleichen der ersten Ereignissequenz mit den gespeicherten, den Prozess darstellenden Mustern und – Anzeigen des Ergebnisses des Vergleichsschrittes.
  • Bei dem Teiresias Algorithmus, siehe auch US 6,108,666A und DE 698 17 176T2 handelt es sich um einen Suchalgorithmus der 1996 von IBM entwickelt wurde und der ursprünglich dazu vorgesehen war, genetische Sequenzdaten nach wiederkehrenden genetischen Muster zu durchsuchen. Zukünftig soll dieser Algorithmus im Rahmen eines Anti-Spam-Filters eingesetzt werden.
  • Weiterhin sind Verfahren bekannt, die auf die automatische Bildung von Hypothesen über Intentionen aus beobachtetem Verhalten ausgerichtet sind (Verfahren zur Planerkennung). Unter Intentionen werden dabei solche Ziele/Pläne eines Akteurs bzw. einer Gruppe von Akteuren verstanden, die von ihm bzw. von ihnen innerhalb der nächsten Zeit angestrebt werden und die ihm auch in diesem Zeitraum erreichbar erscheinen. Nicht unter den Begriff der Intention fallen also längerfristige Ziele und Ziele, über deren Umsetzung sich der Akteur noch keine Gedanken gemacht hat (siehe www.dfki.uni-sb.de/vitra/papers/sport89/node9.html).
  • Die existierenden Verfahren gehen im Kern zumeist davon aus, dass Daten und Messungen auf Rechnersystemen – sogenannten Hosts – durchgeführt werden. Diese Ansätze sind für einen direkten Einsatz in den Netzwerk-Infrastrukturen selber nur bedingt geeignet, da dort auf einer höheren Aggregationsebene Daten zusammengefasst und analysiert werden müssen. Dies erfordert wesentlich komplexere und auf die besondere Situation in den Netzen ausgerichtete Formen von Erkennungsmechanismen.
    •
  • Ziel der vorliegenden Erfindung ist es, unter Zugrundelegen des verhaltensbasierten Lösungsansatzes Denial-of-Service-Angriffe in IP-basierten Netzwerken nahezu in Echtzeit zu erkennen, wobei die unterschiedlichen Anforderungen an eine automatische Erkennung von Denial-of-Service-Angriffen in Einklang zu bringen sind.
  • Ausgehend vom verhaltensbasierten Lösungsansatz beruht die Erfindung auf der Einführung eines kontinuierlichen Lernprozesses mit dem sich „normales Verhalten" von Netzwerkressourcen verstehen lässt. Das wird durch ein Verfahren erreicht, bei dem zwei an sich bekannte Lösungsansätze erstmalig im Rahmen einer neuen eigenständigen Lösung zusammengeführt werden.
  • Erstens werden in kontinuierlichen Zeitabständen Netzwerkmessdaten erfasst, die geeignet sind, fortlaufend eine symbolische Darstellung der in dem zu überwachenden Netzwerk auftretenden Netzwerkaktivitäten zu generieren. Für die symbolische Darstellung der Netzwerkaktivitäten werden die erfassten Netzwerkdaten mittels Techniken des „unüberwachten Lernens" komprimiert.
  • Unter Techniken des unüberwachten Lernens wird hier maschinelles Lernen ohne im Voraus bekannte Klassen verstanden. Beispiele für solches unüberwachtes maschinelles Lernen sind die automatische Gruppenbildung (Clustering) oder die Komprimierung von Daten zur Dimensionsreduktion. Ausgehend von den gemäß der Prinzipien des so verstandenen „unüberwachten maschinellen Lernens" ermittelten und komprimierten Informationen zu den Netzwerkaktivitäten bzw. zum Netzwerkstatus werden diese komprimierten Netzwerkmessdaten in symbolischer Form durch Clusterstrukturen dargestellt.
  • Zweitens werden an sich bekannte Techniken der Planerkennung auf die in symbolischer Form, beispielsweise durch SOMs dargestellten Netzwerkdaten angewendet. Damit sollen die dem Lernverhalten zugrunde liegenden Regeln erkannt und modelliert werden. Auf der Grundlage dieses Lösungsansatzes lassen sich zukünftig Abweichungen vom „normalen Netzverhalten nahezu in Echtzeit erkennen. Ein Beispiel für die Erfassung von Netzwerkmessdaten in Cluster-Strukturen und Plan- Datenbanken ist in 1 dargestellt.
  • Zum Sammeln der Netzwerkmessdaten gibt es grundsätzlich zwei unterschiedliche Arten der Messung.
  • Bei der passiven Messung erfolgt das Sammeln der Netzwerkmessdaten durch Abtasten (Sampling) und durch Verarbeiten von Datenpaketen aus dem Benutzerverkehr. Die aktive Messung erfolgt durch Abtasten und Verarbeiten von Testpaketen, die zu Messzwecken zusätzlich in das Netzwerk injiziert werden. Um eine Minderung der Netzwerkleistung festzustellen, werden beispielsweise folgende Messgrößen ermittelt:
    • – Konnektivität (connectivity)
    • – Einfache Verzögerung (one-way-delay) und Umlaufverlust (one-way-loss)
    • – Netzlaufzeit (round-trip-delay)
    • – Laufzeitvariation (delay variation)
    • – Verlustmuster (loss patterns)
    • – Umordnung der Pakete (packet reordering)
    • – Massentransportkapazität (bulk transport capacity) und
    • – Link-Bandbreitenkapazität (link bandwidth capacity)
  • Netzwerkmessdaten, die nach den oben beschriebenen Verfahren ermittelt wurden, werden in vordefinierte Kategorien eingeordnet, oder mit Hilfe von „unüberwachtem maschinellen Lernen" in Gruppen/Clustern eingeteilt. Dabei handelt es sich jedoch nicht um die Zuordnung zu vordefinierten Kategorien, sondern um „gelernte" Kategorien, die sich automatisch aufgrund unterschiedlicher Netzaktivitäten als Beobachtungsschwerpunkte erwiesen haben.
  • Danach werden die erfassten und zugeordneten Daten als Trainingsmaterial zur Erkennung von Plänen bei einem speziellen Typ von Verkehrs- oder Protokolldaten verwendet. Dabei kann es sich beispielsweise um den mittleren Durchsatz von Edge-Routern in einem Netzwerksegment oder auch um die durchschnittliche Antwortzeit von Webservern bei http-Anfragen in einer Hosting-Umgebung handeln. Voraussetzung ist, dass die gewählten Datenströme Aspekte der realen Welt wiedergeben und damit geeignet sind, alle relevanten Netzwerkaktivitäten zu repräsentieren, wobei genügend Messungen vorliegen müssen, um hinreichend stabile Clusterstrukturen zu erkennen.
  • Innerhalb welchen Zeitraumes eine Clusterstruktur stabil bleiben muss, richtet sich nach der Art der Anwendung, d. h. danach, ob eine Leistungsminderung von Routern auf der Grundlage von Clustern auf Verkehrsspitzen-Szenarien hin beobachtet werden soll, oder ob es auf das Klick- und Surfverhalten von Internetnutzern ankommt.
  • Beispielsweise wird bei einer selbstorganisierenden Karte nach einer zu vernachlässigenden Trainingszeit aus den Messergebnissen eine erste Clusterstruktur C1 ermittelt. Die Clusterstruktur bleibt über einen gewissen Zeitraum stabil und beginnt dann zu zerfallen bzw. in eine andere Clusterstruktur C2 überzugehen, die wiederum nach einer gewissen Zeit zerfällt.
  • Bemerkenswert an diesem Prozess ist folgendes:
    Unüberwachtes maschinelles Lernen setzt in der Regel voraus, dass die zu beobachtende Domaine eine gewisse Stabilität aufweiset. Das unterstützt die weitere Verwendung der identifizieren Cluster als Eingabe für darauf aufbauende Planerkennungsalgorithmen, welche die identifizierten Cluster nach wiederkehrenden Mustern durchsuchen. Das geschieht allerdings auf einer abstrakten Ebene innerhalb der vorliegenden Clusterstrukturen.
  • Wird die beobachtete Welt instabil, beginnt der gesamte Trainingszyklus von neuem. Bei einem IP-basierten Datennetzwerk kann die Clusterbildung vor allem dadurch instabil werden, dass in der realen Welt eine größere Veränderung eintritt, die durch die sich verändernden Messergebnisse manifestiert wird.
  • Im vorstehend beschriebenen Beispiel einer Router- oder Serverbelastung kann eine solche Veränderung schon dadurch hervorgerufen werden, dass eine beliebte Fernsehsendung ausgestrahlt wird und dadurch größere Benutzergruppen zeitgleich von der Internet- zur Fernsehnutzung übergehen. Das aus diesem Vorgang resultierende Ergebnis wäre eine plötzliche Änderung der Verkehrs- oder Lastmuster, die je nach der geographischen Verteilung der Benutzer oder ihrer individuellen Präferenzen bei der Internetnutzung wiederum Auswirkungen auf die jeweilige Clusterstruktur haben. Andererseits ist eine Stabilität zu beobachten, wenn große Benutzergruppen kohärentes Verhalten zeigen, was sich beispielsweise in typischen Internetzeiten, wie z. B. um 22.00 Uhr oder in der späten Nacht, nachweisen lässt.
  • Im Hinblick auf die erfindungsgemäße Architektur lassen Perioden stabiler Clusterstrukturen darauf schließen, dass keine größeren Veränderungen eingetreten sind. Dagegen kann eine Instabilität, wie bereits beschrieben, natürliche Ursachen haben oder aber auf böswilligem Verhalten beruhen, wie etwa einem verteilten Denial-of-Service-Angriff; DDoS-Angriff. Absichtliches Überfluten von Netzwerksegmenten oder Massenanfragen an Zielserver lösen eine kurzfristige Änderung der Clusterstruktur aus, sofern sie nicht zeitgleich mit einer natürlichen Stabilitätsänderung der Clusterstruktur zusammenfallen.
  • Da die zugrunde liegende reale Welt, die durch Messungen in einem IP-basierten Netz abgebildet wird, typischen Mustern folgt, beispielsweise, wenn ganze Benutzergruppen während eines definierbaren Zeitraumes zum Fernsehkonsum übergehen, lässt sich der Übergang der Clusterstruktur als planbasiertes Verhalten erklären. Unter einem Plan wird hier regelbasiertes Verhalten verstanden, welches durch eine Gruppe autonomer Agenten verursacht wird, deren Verhalten wohldefinierte Ziele zugrunde liegen. Dabei werden diese Ziele jedoch nicht offen gelegt. Weiterhin wird davon ausgegangen, dass die genaue Definition der Agenten ebenfalls unbekannt ist. Lediglich die Existenz dieser Agenten und die Tatsache, dass das Verhalten der Agenten als planbasiert betrachtet werden darf, ist als gesichert anzusehen.
    •
  • Nachfolgend wird ein Beispiel für planbasiertes Verhalten von Benutzergruppen anhand des Alltags von Studenten beschrieben.
  • Betrachten wir, wie allgemein in 2 abgebildet, den Alltag junger Studenten mit einer Vorliebe für abendliche Kino- oder Clubbesuche und nächtlichem Surfen im Internet. Die diesem Beispiel zugrunde liegende reale Welt sei eine große Universitätsstadt, wie beispielsweise Berlin. Die diesem Szenario zugrunde liegende reale Welt wird durch die bereits beschriebenen Messungen des Datenverkehrs in ausgewählten Edge-Routern und durch beobachtbare http-Anfragen erfasst. Die Messungen erfolgen dabei beispielsweise im Abstand von 100 Millisekunden und können ca. 200 Werte je Messdurchlauf umfassen.
  • Nach einer Zeit intensiven Internetsurfens durch eine Vielzahl von Studenten, die in einen Zeitraum von ca 22:00 Uhr bis 04:00 Uhr fällt, begeben sich die meisten Studenten etwa zwischen 04:00 Uhr und 05:00 Uhr zur Ruhe um etwas Schlaf zu finden, ehe um 09:00 Uhr die nächste Vorlesung beginnt.
  • Wenn in der gewählten Stadt signifikant viele Studenten diesem Verhaltensmuster folgen, ist nach einem Retraining der SOMs eine Änderung der Clusterstruktur zu beobachten. Da die Cluster selber aber noch keinen Aufschluss über die Pläne, die den Änderungen zugrunde liegen, zulassen, werden in der zweiten Schicht die den Änderungen zugrunde liegenden Pläne mittels Analysetechniken ermittelt. Das erfolgt vorzugsweise in zwei Phasen. In der ersten Phase werden die Clusterstrukturen auf symbolischer Ebene betrachtet und eine lange Trainingsphase begonnen, um die in den symbolischen Darstellungen verborgenen Pläne zu erkennen. Im zweiten Schritt wird dann die Gültigkeit der erkannten Pläne überwacht und eine Anomalie als unerwarteter und nicht plankonformer Übergang in der Clusterbildung definiert, der nicht aufgrund des jeweiligen Plan- oder Clusterwissens mithilfe der verwendeten Messgrößen zur Quantifizierung von Entfernungen zwischen vorangegangenen und gegenwärtigen Zuständen oder Plänen zu erklären ist. Dabei sind zunächst voreingestellte Schwellwerte zur Bewertung herausgefilterter Anomalien zu verwenden, die in Abhängigkeit von der Erkennungsgenauigkeit echter Angriffe bzw. der Häufigkeit falscher Alarme automatisch angepasst werden.
  • Die Überwachung der Gültigkeit der erkannten Pläne und die Definition einer Anomalie als Übergang in der Clusterbildung erfolgt dabei in Form eines Kompromisses zwischen Genauigkeit und Geschwindigkeit. Ein Schlüsselaspekt für eine funktionierende Lösung der zu beachten ist, beruht darauf, dass die gewählten Werkzeuge, wie z. B. selbstorganisierende Karten, über eine inhärente Flexibilität verfügen, die der beobachteten realen Welt bzw. den beobachteten Netzwerkkomponenten angepasst werden muss. Bei geringer Granularität der Netzwerkmessungen oder Clusterzahlen ist die Aussagekraft des verwendeten Modells möglicherweise gering. Dies lässt sich beispielsweise anhand steigender DoS-Angriffe in einem Netzwerksegment veranschaulichen. Der Einfluss eines DoS-Angriffes auf ein Netzwerksegment ist anfangs schwach und mit groben Modellen, die auf einer geringen Anzahl von Netzwerkmessungen und einer geringen Anzahl von nachgewiesenen Clustern basieren, nicht darstellbar. Innerhalb eines kurzen Zeitraumes, gemessen vom Beginn des DoS-Angriffes, lassen sich Abweichungen, die auf den DoS-Angriff schließen lassen, nur bei feingranularen Modellen erkennen, die auf einer wesentlich größeren Anzahl von Netzwerkmessungen und einer größeren Anzahl von nachgewiesenen Clustern basieren. Andererseits steigt mit dem gewählten Genauigkeitsgrad der Cluster- oder Planmodelle der Umfang der benötigten Rechenressourcen, die zur Erfüllung der Echtzeitanforderungen benötigt werden.
  • Es ist also ein Kompromiss zwischen Erfassungsgenauigkeit und Rechenzeit zu finden.
  • 3 stellt anhand eines Diagramms einen Kompromiss zwischen Erfassungsgenauigkeit und Rechenzeit graphisch dar.
  • Die Entwicklung eines Arbeitsmodells, das in der Lage ist, DoS-Angriffe in einem kommerziellen IP- gestützten Netzwerk zu erkennen, erfordert bei der Verwendung von Algorithmen, wie beispielsweise SOM-Berechnungen und Algorithmen zur Planerkennung, ein genaues Verständnis von Leistungsanfragen an das Netzwerk. Aus der Bottom-up-Sicht können öffentlich zugängliche Testdaten aus bereits referenzierten Projekten verwendet werden, um die Geschwindigkeit bestehender Anwendungen zu überprüfen. Bei einem Top-down-Ansatz werden dagegen, ausgehend von einem Referenznetzwerk, das als Modell für Teile eines Kommunikations-Netzwerkes dienen kann, mithilfe der theoretisch gültigen Skalierbarkeitsgesichtspunkte Anforderungen an Rechenleistung an eine kommerzielle Anwendung abgeleitet, um die erforderliche Mindestleistung zu bestimmen.
  • Entscheidend ist, dass DoS-Angriffe und anderer Netzwerkprobleme mit der Erfindung nur dann erfolgreich erkannt werden können, wenn eine gewisse Mindestgenauigkeit eingehalten wird.

Claims (2)

  1. Verfahren zur automatischen Erkennung von Anomalien in Weitverkehrsnetzen (WAN) und lokalen Netzen (LAN) und insbesondere von Denial-of-Service Angriffen unter Zugrundelegung des verhaltensbasierten Lösungsansatzes, gekennzeichnet durch die Schritte – automtisches Erfassen von Netzwerkmessdaten im Rahmen eines vorgegebenen Zeitregimes, die geeignet sind, Netzwerkaktivitäten so abzubilden, dass sie die reale Welt im Netzwerk wiederspiegeln, – komprimieren der Netzwerkmessdaten mittels Techniken des unüberwachten Lernens (Dimensionsreduktion), – automatisches ermitteln von Clusterstrukturen/Kategorien aus den kontinuierlich erfassten komprimierten Netzwerkmessdaten mittels Methoden des unüberwachten Lernens während eines ständigen kontinuierlichen Trainings- und Lernprozesses, – automatisches ermitteln der den Clusterstrukturen/Kategorien zugrunde liegenden Pläne mittels Algorithmen zur Planerkennung während eines ständigen kontinuierlichen Trainings- und Lernprozesses, – automatisches überwachen der Gültigkeit der erkannten Pläne und Clusterstrukturen/Kategorien sowie Herausfiltern von Anomalien im Sinne eines unerwarteten und nicht plankonformen Übergangs in mindestens einer Clusterstruktur/Kategorie, der sich nicht dem bisher ermittelten Plan- oder Clusterwissen zuordnen lässt, – automatisches bewerten der herausgefilterten Anomalien anhand voreingestellter Schwellwerte, die in Abhängigkeit von der Erkennungsgenauigkeit echter Angriffe bzw. der Häufigkeit falscher Alarme automatisch angepasst werden.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Netzwerkmessdaten – Konnektivität (connectivity), – einfache Verzögerung (one-way-delay) und Umlaufverlust (one-way-loss), – Netzlaufzeit (round-trip-delay), – Laufzeitvariation (delay variation), – Verlustmuster (loss patterns), – Umordnung der Pakete (packet reordering), – Massentransportkapazität (bulk transport capacity) und – Link-Bandbreitenkapazität (link bandwidth capacity) für den ständigen kontinuierlichen Trainingsprozess erfasst werden.
DE102005049561A 2005-10-12 2005-10-12 Verfahren zur automatischen Erkennung von Anomalien in Weitverkehrsnetzen (WAN) und lokalen Netzen (LAN) Withdrawn DE102005049561A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102005049561A DE102005049561A1 (de) 2005-10-12 2005-10-12 Verfahren zur automatischen Erkennung von Anomalien in Weitverkehrsnetzen (WAN) und lokalen Netzen (LAN)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102005049561A DE102005049561A1 (de) 2005-10-12 2005-10-12 Verfahren zur automatischen Erkennung von Anomalien in Weitverkehrsnetzen (WAN) und lokalen Netzen (LAN)

Publications (1)

Publication Number Publication Date
DE102005049561A1 true DE102005049561A1 (de) 2007-04-19

Family

ID=37896441

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102005049561A Withdrawn DE102005049561A1 (de) 2005-10-12 2005-10-12 Verfahren zur automatischen Erkennung von Anomalien in Weitverkehrsnetzen (WAN) und lokalen Netzen (LAN)

Country Status (1)

Country Link
DE (1) DE102005049561A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9171158B2 (en) 2011-12-12 2015-10-27 International Business Machines Corporation Dynamic anomaly, association and clustering detection

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6178450B1 (en) * 1997-07-01 2001-01-23 Kokusai Denshin Denwa Co., Ltd. Method and apparatus for monitoring a communication link based on TCP/IP protocol by emulating behavior of the TCP protocol
DE19929166A1 (de) * 1999-06-25 2001-03-22 Tektronix Inc Verfahren zum Erlernen von Protokollregeln aus beobachteten Kommunikationsabläufen
WO2002021802A1 (en) * 2000-09-08 2002-03-14 The Regents Of The University Of Michigan Method and system for profiling network flows at a measurement p oint within a computer network
EP1507360A1 (de) * 2003-08-14 2005-02-16 AT&T Corp. Verfahren und Vorrichtung für die Modell-basierte Erkennung von Veränderungen von Netzwerkverkehr
EP1580957A2 (de) * 2004-03-18 2005-09-28 AT&T Corp. Methode und Gerät zur schnellen Lokalisierung von Anomalien in IP Verkehrsprotokolldateien

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6178450B1 (en) * 1997-07-01 2001-01-23 Kokusai Denshin Denwa Co., Ltd. Method and apparatus for monitoring a communication link based on TCP/IP protocol by emulating behavior of the TCP protocol
DE19929166A1 (de) * 1999-06-25 2001-03-22 Tektronix Inc Verfahren zum Erlernen von Protokollregeln aus beobachteten Kommunikationsabläufen
WO2002021802A1 (en) * 2000-09-08 2002-03-14 The Regents Of The University Of Michigan Method and system for profiling network flows at a measurement p oint within a computer network
EP1507360A1 (de) * 2003-08-14 2005-02-16 AT&T Corp. Verfahren und Vorrichtung für die Modell-basierte Erkennung von Veränderungen von Netzwerkverkehr
EP1580957A2 (de) * 2004-03-18 2005-09-28 AT&T Corp. Methode und Gerät zur schnellen Lokalisierung von Anomalien in IP Verkehrsprotokolldateien

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9171158B2 (en) 2011-12-12 2015-10-27 International Business Machines Corporation Dynamic anomaly, association and clustering detection
US9292690B2 (en) 2011-12-12 2016-03-22 International Business Machines Corporation Anomaly, association and clustering detection
US9589046B2 (en) 2011-12-12 2017-03-07 International Business Machines Corporation Anomaly, association and clustering detection
US10140357B2 (en) 2011-12-12 2018-11-27 International Business Machines Corporation Anomaly, association and clustering detection

Similar Documents

Publication Publication Date Title
EP1223709B1 (de) Verfahren und Vorrichtung zum rechnergestützten Überwachen eines Telekommunikationsnetzes
DE60210269T2 (de) Methode und system zur bekämpfung von robots und rogues
DE69817176T2 (de) Verfahren und Vorrichtung zur Eindringdetektion in Rechnern und Rechnernetzen
DE102005010923B4 (de) System, computerverwendbares Medium und Verfahren zum Überwachen einer Netzwerkaktivität
DE112010002445T9 (de) Identifizierung von Bots
DE602004004609T2 (de) Verfahren und Vorrichtung für die Modell-basierte Erkennung von Veränderungen von Netzwerkverkehr
DE60316543T2 (de) Adaptive verhaltensbezogene eindringdetektion
DE60115845T2 (de) System und verfahren zur beurteilung der verletzlichkeit der netzsicherheit mit fuzzy logik regeln
DE112010003099B4 (de) Erkennung gering ausgelasteter netzeinheiten
CN106844220A (zh) 一种模拟计算机网络应用程序真实运行环境的测试方法和***
EP2966828B1 (de) Verfahren zum Erkennen eines Angriffs auf eine mit einem Kommunikationsnetzwerk verbundene Arbeitsumgebung
EP2975801B1 (de) Verfahren zum Erkennen eines Angriffs in einem Computernetzwerk
DE60114763T2 (de) Verfahren und Vorrichtung für filtern von Zugriff, und Computerprodukt
CN109302396A (zh) 一种基于风险评估的网络安全态势感知方法
CN105071985A (zh) 一种服务器网络行为描述方法
Hodo et al. Anomaly detection for simulated iec-60870-5-104 trafiic
CN108111463A (zh) 基于平均值和标准差的多维度基线自学习和异常行为分析
CN103457909A (zh) 一种僵尸网络检测方法及装置
CN113240116B (zh) 基于类脑平台的智慧防火云***
CN112560029A (zh) 基于智能分析技术的网站内容监测和自动化响应防护方法
DE202022102631U1 (de) Intelligentes Verteidigungssystem gegen verteilte Denial of Service (DDoS) Angriffe in Internet of Things (IoT) Netzen
Tu et al. Detecting bot-infected machines based on analyzing the similar periodic DNS queries
Wang et al. Source-based defense against DDoS attacks in SDN based on sFlow and SOM
Yu et al. Data-adaptive clustering analysis for online botnet detection
Chyssler et al. Alarm reduction and correlation in intrusion detection systems

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
R012 Request for examination validly filed

Effective date: 20120807

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee