In
www.heise.de/ix/ artikel/2205/04/107 Artikel Christoph Puppe, Jörn Maier
ist ausgeführt,
dass die ersten Denial of Service Angriffe, die bekannt geworden
sind, auf die Webseiten von Yahoo, CCN eBay Amazon und anderer Diensteanbieter
erfolgten. Am 09.02. 2000 begann „Mafiaboy" seine Angriffe und sorgte eine Woche
lang für
massive Störungen.
Am 10. März
200 brach das Vertrauen der Anleger in die Internet-Aktien zusammen und
an der Börse
wurden 2,7 Billionen US-Dollar vernichtet.
Die
Folgen einer solchen Attacke sind neben einem immensen materiellen
Verlust immer auch ein Vertrauensverlust der Kunden und Anleger
in das angegriffene Unternehmen. Sicherheitsfragen von Computersystemen
sind daher, insbesondere auch aus den o.a. Gründen, in der letzten Zeit immer
wichtiger geworden. Das liegt darin begründet, dass Einerseits die Anzahl
der Angriffe auf Netzwerke, und insbesondere auch auf Server, ständig zunimmt,
und dass Andererseits immer mehr Computer sowohl mit Weitverkehrsnetzen
(WAN), als auch mit lokalen Netzwerken (LAN), verbunden sind.
Primitive
DoS-Angriffe belasten die Dienste eines Servers, beispielsweise
HTTP, mit einer größeren Anzahl
von Anfragen als dieser bearbeiten kann. Im Ergebnis wird der betroffene
Server die Bearbeitung einstellen oder die regulären Anfragen so langsam beantworten
dass die Beantwortung abgebrochen wird.
Noch
effektiver in seiner Wirkung ist ein Angriff, der darauf beruht,
einen Programmfehler auszunutzen um eine Fehlerfunktion in der Serversoftware auszulösen, welche
dann im Ergebnis zum Absturz des Servers führt. Einem solchen Angriff
kann jedoch die Grundlage durch Verbesserung der Softwareprogramme
bzw. durch Vermeidung von Programmfehlern entzogen werden.
Erfolgt
der Angriff koordiniert von einer größeren Anzahl anderer Systeme,
spricht man von einem Distributet-Denial-of-Service-Angriff, DDoS-Angriff.
Strategie dieser Angriffe ist es, mit Backdoor Programmen, welche
sich alleine auf anderen Rechnern im Netzwerk verbreiten, dem Angreifer
weitere Wirte zum Ausführen
seiner Angriffe zur Verfügung zu
stellen.
Eine
besondere Form des Angriffes ist die distributed reflected denial
of service Attacke DRDoS-Attacke. Bei dieser Art des Angriffes adressiert
der Angreifer seine Datenpakete nicht direkt an das Opfer, sondern
an regulär
arbeitende Internet-Dienste. Er trägt jedoch als Absenderadresse
die Adresse des Opfers ein (IP-Spoofing). Die Antworten auf diese
Anfragen stellen dann für
das Opfer den eigentlichen DoS-Angriff dar. Der Ursprung des Angriffs
ist für
das Opfer durch diese Verfahrensweise praktisch nicht mehr ermittelbar.
Es
ist auch prinzipiell festzustellen, das nach wie vor die Anfälligkeit
vor DoS-Angriffen
eine der gravierendsten Schwachstelle des Internet ist.
Die
Schwachstellen des Internets, die DoS-Angriffe erst ermöglichen,
sind systemimmanent und liegen insbesondere darin begründet, das es
im Internet nicht vorgesehen ist, jeden Kommunikationspartner eindeutig
zu identifizieren, eine zentrale Verwaltung der Datentransfers zu
bieten oder jedem Teilnehmer einen Anteil an der vorhandenen Bandbreite
zu garantieren.
Für das Erkennen
von Sicherheitsproblemen in einem Rechnernetz gibt es zwei unterschiedliche Lösungsansätze. Der
erste Lösungsansatz
wird als wissensbasiertes Verfahren bezeichnet. Dem wissensbasierten
Verfahrensansatz liegt die Annahme zugrunde, dass dem System alle
möglichen
Angriffsarten bekannt sind. Für
jeden Angriff gibt es eine definierte Signatur. Ein System zur Überwachung
des Datenverkehrs sucht nach diesen Signaturen und identifiziert
sie.
In
US-Patentschrift 5,278,901 wird ein derartiges signaturbasiertes
System beschrieben.
Vorteil
dieses Verfahrens ist es, dass sehr selten ein falscher Alarm ausgelöst wird,
d. h. die Fehlerrate ist verhältnismäßig niedrig.
Der wesentliche Nachteil dieses Lösungsansatzes wird darin gesehen,
dass systembedingt auch nur die Angriffe erkannt werden können, deren
Signaturen bereits gespeichert sind. Gegenwärtig sind jedoch so viele Angriffe
zu verzeichnen, dass die Anzahl der unterschiedlichen Signaturen
sehr schnell zunimmt. Viele Signaturen sind auch so strukturiert,
dass sie sich schwierig über
einen Algorithmus darstellen lassen. Zwei Beispiele für Produkte,
die auf dem wissensbasierten Lösungsansatz
beruhen, sind NetRanger von Cisco Systems (siehe www.alliancedaracom.com/manifacturers/cisco-systems/security_vpn/ids.asp)
und RealSecure von Internet Security Systems Inc. (siehe www.rioco.co.uk/products/intrusion_detektion/Datasheet_RealSecure.pdf)
Der
zweite Lösungsansatz
wird als verhaltensbasierter Ansatz bezeichnet. Er geht von der
Annahme aus, dass sich das „Verhalten" eines Systems verändert, wenn
ein Angriff auf das System erfolgt. Bei dem verhaltensbasierten
Ansatz wird für
das System ein Normalprofil definiert. Ausgehend von dem Normalprofil
wird nach Abweichungen gesucht.
Zwei
Beispiele für
neue, gerade angekündigte
Produkte, die auf dem verhaltensbasierten Lösungsansatz beruhen sollen,
sind Cisco Guard XT 5650 (siehe www.cisco.com/en/US/products/ps5894)
bzw. Cisco Traffic Anomaly Detector XT 5600 (siehe www.cisco.com/en/US/products/ps5892).
Für die Realisierung
dieses verhaltensbasierten Lösungsansatzes
können
verschiedene Verfahren, z. B. statistische Verfahren, regelbasierte Systeme
und neuronale Netze eingesetzt werden. Eine Art von künstlichen
neuronalen Netzen stellen beispielsweise selbstorganisierende Karten
(Self-Organizing Maps/SOMs oder Self-Organizing Feature Maps) dar,
die nach Teuvo Kohonen auch als Kohonennetze bezeichnet werden.
Mittels
der oben genannten Verfahren können
unterschiedliche Überwachungsziele,
wie beispielsweise die Benutzer des Systems, die Leistungsparameter
des Rechnernetzes, die CPU-Takte usw. definiert werden. Der Hauptvorteil
gegenüber dem
wissensbasierten Ansatz ist, darin zu sehen, dass beim verhaltensbasierten
Lösungsansatz
auch unbekannte Angriffsarten erkannt werden können. Es entfällt bei diesem
Lösungsansatz
somit der Zwang eine Datenbank permanent mit den bekannten Signaturen
aktualisieren zu müssen.
Der
Nachteil dieses Lösungsansatzes
beruht darin, dass es auch ohne einen Angriff zu Abweichungen kommen
kann, die beispielsweise durch Änderungen
der Benutzeraktivitäten,
neue Software, neue Maschinen und neue Benutzer ausgelöst werden.
Die
Schwierigkeit bei diesem Lösungsansatz besteht
daher darin, normales Nutzerverhalten von einem böswilligen
Angriff zu unterscheiden.
Der
verhaltensbasierte Ansatz kann daher aufgrund des angewendeten Lösungsprinzips
zu einer sehr hohen Anzahl von Fehlalarmen führen, die das Verfahren für den Anwender
unattraktiv machen.
Eine
weitere Lösung,
die auf dem verhaltensbasierten Lösungsansatz beruht, ist aus
DE 698 17 176 T2 bekannt.
Bei dieser Lösung
handelt es sich um ein Verfahren und eine Vorrichtung zur Eindringdetektion,
vorrangig in einem Rechnersystem, das auf Ereignismustern basiert
und insbesondere die Erkennung von Abweichungen von einem „normalen" Prozessverhalten
und somit die Erkennung von Angriffen gegen diesen Prozess betrifft.
Diese Lösung basiert
- a) auf einem Trainingsmodus, dem eine Tabelle charakteristischer,
den Prozess darstellender Muster zugrunde liegt, die das normale
Verhalten eines Modellprozesses in dem Rechner definieren, durch
Ausführen
der Schritte
– Erstellen
einer ersten Ereignissequenz durch Filtern eines ersten durch den
Modellprozess generierten Ereignisdatenstroms
– Verwenden
des Teiresias-Algorithmus zum Extrahieren von Ereignissequenzmustern,
aus der ersten Ereignissequenz, wobei die Muster den Modellprozess
darstellen,
– Speichern
der den Prozess darstellenden Muster und
- b) auf einem Betriebsmodus, in dem aus einem realen Prozess
charakteristische Muster durch Ausführen der folgenden Schritte
extrahiert werden;
– Erstellen
einer zweiten Ereignissequenz durch Filtern eines durch den realen
Prozess generierten Ereignisdatenstromes,
– Vergleichen der ersten Ereignissequenz
mit den gespeicherten, den Prozess darstellenden Mustern und
– Anzeigen
des Ergebnisses des Vergleichsschrittes.
Bei
dem Teiresias Algorithmus, siehe auch
US 6,108,666A und
DE 698 17 176T2 handelt
es sich um einen Suchalgorithmus der 1996 von IBM entwickelt wurde
und der ursprünglich
dazu vorgesehen war, genetische Sequenzdaten nach wiederkehrenden
genetischen Muster zu durchsuchen. Zukünftig soll dieser Algorithmus
im Rahmen eines Anti-Spam-Filters eingesetzt werden.
Weiterhin
sind Verfahren bekannt, die auf die automatische Bildung von Hypothesen über Intentionen
aus beobachtetem Verhalten ausgerichtet sind (Verfahren zur Planerkennung).
Unter Intentionen werden dabei solche Ziele/Pläne eines Akteurs bzw. einer
Gruppe von Akteuren verstanden, die von ihm bzw. von ihnen innerhalb
der nächsten
Zeit angestrebt werden und die ihm auch in diesem Zeitraum erreichbar
erscheinen. Nicht unter den Begriff der Intention fallen also längerfristige
Ziele und Ziele, über deren
Umsetzung sich der Akteur noch keine Gedanken gemacht hat (siehe
www.dfki.uni-sb.de/vitra/papers/sport89/node9.html).
Die
existierenden Verfahren gehen im Kern zumeist davon aus, dass Daten
und Messungen auf Rechnersystemen – sogenannten Hosts – durchgeführt werden.
Diese Ansätze
sind für
einen direkten Einsatz in den Netzwerk-Infrastrukturen selber nur bedingt
geeignet, da dort auf einer höheren
Aggregationsebene Daten zusammengefasst und analysiert werden müssen. Dies
erfordert wesentlich komplexere und auf die besondere Situation
in den Netzen ausgerichtete Formen von Erkennungsmechanismen.
Ziel
der vorliegenden Erfindung ist es, unter Zugrundelegen des verhaltensbasierten
Lösungsansatzes
Denial-of-Service-Angriffe in IP-basierten Netzwerken nahezu in
Echtzeit zu erkennen, wobei die unterschiedlichen Anforderungen
an eine automatische Erkennung von Denial-of-Service-Angriffen in
Einklang zu bringen sind.
Ausgehend
vom verhaltensbasierten Lösungsansatz
beruht die Erfindung auf der Einführung eines kontinuierlichen
Lernprozesses mit dem sich „normales
Verhalten" von Netzwerkressourcen
verstehen lässt.
Das wird durch ein Verfahren erreicht, bei dem zwei an sich bekannte
Lösungsansätze erstmalig
im Rahmen einer neuen eigenständigen
Lösung
zusammengeführt
werden.
Erstens
werden in kontinuierlichen Zeitabständen Netzwerkmessdaten erfasst,
die geeignet sind, fortlaufend eine symbolische Darstellung der
in dem zu überwachenden
Netzwerk auftretenden Netzwerkaktivitäten zu generieren. Für die symbolische
Darstellung der Netzwerkaktivitäten
werden die erfassten Netzwerkdaten mittels Techniken des „unüberwachten
Lernens" komprimiert.
Unter
Techniken des unüberwachten
Lernens wird hier maschinelles Lernen ohne im Voraus bekannte Klassen
verstanden. Beispiele für
solches unüberwachtes
maschinelles Lernen sind die automatische Gruppenbildung (Clustering)
oder die Komprimierung von Daten zur Dimensionsreduktion. Ausgehend
von den gemäß der Prinzipien
des so verstandenen „unüberwachten
maschinellen Lernens" ermittelten
und komprimierten Informationen zu den Netzwerkaktivitäten bzw.
zum Netzwerkstatus werden diese komprimierten Netzwerkmessdaten
in symbolischer Form durch Clusterstrukturen dargestellt.
Zweitens
werden an sich bekannte Techniken der Planerkennung auf die in symbolischer
Form, beispielsweise durch SOMs dargestellten Netzwerkdaten angewendet.
Damit sollen die dem Lernverhalten zugrunde liegenden Regeln erkannt
und modelliert werden. Auf der Grundlage dieses Lösungsansatzes
lassen sich zukünftig
Abweichungen vom „normalen
Netzverhalten nahezu in Echtzeit erkennen. Ein Beispiel für die Erfassung
von Netzwerkmessdaten in Cluster-Strukturen und Plan- Datenbanken
ist in 1 dargestellt.
Zum
Sammeln der Netzwerkmessdaten gibt es grundsätzlich zwei unterschiedliche
Arten der Messung.
Bei
der passiven Messung erfolgt das Sammeln der Netzwerkmessdaten durch
Abtasten (Sampling) und durch Verarbeiten von Datenpaketen aus dem
Benutzerverkehr. Die aktive Messung erfolgt durch Abtasten und Verarbeiten
von Testpaketen, die zu Messzwecken zusätzlich in das Netzwerk injiziert
werden. Um eine Minderung der Netzwerkleistung festzustellen, werden
beispielsweise folgende Messgrößen ermittelt:
- – Konnektivität (connectivity)
- – Einfache
Verzögerung
(one-way-delay) und Umlaufverlust (one-way-loss)
- – Netzlaufzeit
(round-trip-delay)
- – Laufzeitvariation
(delay variation)
- – Verlustmuster
(loss patterns)
- – Umordnung
der Pakete (packet reordering)
- – Massentransportkapazität (bulk
transport capacity) und
- – Link-Bandbreitenkapazität (link
bandwidth capacity)
Netzwerkmessdaten,
die nach den oben beschriebenen Verfahren ermittelt wurden, werden
in vordefinierte Kategorien eingeordnet, oder mit Hilfe von „unüberwachtem
maschinellen Lernen" in
Gruppen/Clustern eingeteilt. Dabei handelt es sich jedoch nicht
um die Zuordnung zu vordefinierten Kategorien, sondern um „gelernte" Kategorien, die
sich automatisch aufgrund unterschiedlicher Netzaktivitäten als Beobachtungsschwerpunkte
erwiesen haben.
Danach
werden die erfassten und zugeordneten Daten als Trainingsmaterial
zur Erkennung von Plänen
bei einem speziellen Typ von Verkehrs- oder Protokolldaten verwendet.
Dabei kann es sich beispielsweise um den mittleren Durchsatz von Edge-Routern
in einem Netzwerksegment oder auch um die durchschnittliche Antwortzeit
von Webservern bei http-Anfragen in einer Hosting-Umgebung handeln.
Voraussetzung ist, dass die gewählten
Datenströme
Aspekte der realen Welt wiedergeben und damit geeignet sind, alle
relevanten Netzwerkaktivitäten zu
repräsentieren,
wobei genügend
Messungen vorliegen müssen,
um hinreichend stabile Clusterstrukturen zu erkennen.
Innerhalb
welchen Zeitraumes eine Clusterstruktur stabil bleiben muss, richtet
sich nach der Art der Anwendung, d. h. danach, ob eine Leistungsminderung
von Routern auf der Grundlage von Clustern auf Verkehrsspitzen-Szenarien
hin beobachtet werden soll, oder ob es auf das Klick- und Surfverhalten von
Internetnutzern ankommt.
Beispielsweise
wird bei einer selbstorganisierenden Karte nach einer zu vernachlässigenden Trainingszeit
aus den Messergebnissen eine erste Clusterstruktur C1 ermittelt.
Die Clusterstruktur bleibt über
einen gewissen Zeitraum stabil und beginnt dann zu zerfallen bzw.
in eine andere Clusterstruktur C2 überzugehen, die wiederum nach
einer gewissen Zeit zerfällt.
Bemerkenswert
an diesem Prozess ist folgendes:
Unüberwachtes maschinelles Lernen
setzt in der Regel voraus, dass die zu beobachtende Domaine eine gewisse
Stabilität
aufweiset. Das unterstützt
die weitere Verwendung der identifizieren Cluster als Eingabe für darauf
aufbauende Planerkennungsalgorithmen, welche die identifizierten
Cluster nach wiederkehrenden Mustern durchsuchen. Das geschieht
allerdings auf einer abstrakten Ebene innerhalb der vorliegenden
Clusterstrukturen.
Wird
die beobachtete Welt instabil, beginnt der gesamte Trainingszyklus
von neuem. Bei einem IP-basierten Datennetzwerk kann die Clusterbildung vor
allem dadurch instabil werden, dass in der realen Welt eine größere Veränderung
eintritt, die durch die sich verändernden
Messergebnisse manifestiert wird.
Im
vorstehend beschriebenen Beispiel einer Router- oder Serverbelastung
kann eine solche Veränderung
schon dadurch hervorgerufen werden, dass eine beliebte Fernsehsendung
ausgestrahlt wird und dadurch größere Benutzergruppen
zeitgleich von der Internet- zur Fernsehnutzung übergehen. Das aus diesem Vorgang
resultierende Ergebnis wäre
eine plötzliche Änderung
der Verkehrs- oder Lastmuster, die je nach der geographischen Verteilung
der Benutzer oder ihrer individuellen Präferenzen bei der Internetnutzung
wiederum Auswirkungen auf die jeweilige Clusterstruktur haben. Andererseits ist
eine Stabilität
zu beobachten, wenn große
Benutzergruppen kohärentes
Verhalten zeigen, was sich beispielsweise in typischen Internetzeiten,
wie z. B. um 22.00 Uhr oder in der späten Nacht, nachweisen lässt.
Im
Hinblick auf die erfindungsgemäße Architektur
lassen Perioden stabiler Clusterstrukturen darauf schließen, dass
keine größeren Veränderungen eingetreten
sind. Dagegen kann eine Instabilität, wie bereits beschrieben,
natürliche
Ursachen haben oder aber auf böswilligem
Verhalten beruhen, wie etwa einem verteilten Denial-of-Service-Angriff;
DDoS-Angriff. Absichtliches Überfluten
von Netzwerksegmenten oder Massenanfragen an Zielserver lösen eine kurzfristige Änderung
der Clusterstruktur aus, sofern sie nicht zeitgleich mit einer natürlichen
Stabilitätsänderung
der Clusterstruktur zusammenfallen.
Da
die zugrunde liegende reale Welt, die durch Messungen in einem IP-basierten
Netz abgebildet wird, typischen Mustern folgt, beispielsweise, wenn
ganze Benutzergruppen während
eines definierbaren Zeitraumes zum Fernsehkonsum übergehen,
lässt sich
der Übergang
der Clusterstruktur als planbasiertes Verhalten erklären. Unter
einem Plan wird hier regelbasiertes Verhalten verstanden, welches
durch eine Gruppe autonomer Agenten verursacht wird, deren Verhalten
wohldefinierte Ziele zugrunde liegen. Dabei werden diese Ziele jedoch
nicht offen gelegt. Weiterhin wird davon ausgegangen, dass die genaue
Definition der Agenten ebenfalls unbekannt ist. Lediglich die Existenz
dieser Agenten und die Tatsache, dass das Verhalten der Agenten als
planbasiert betrachtet werden darf, ist als gesichert anzusehen.