Anomalieerkennung

Zusammenfassung

Um was es geht

Die zunehmende Kommunikation über Netzwerke und das Internet führt dazu, dass diese Infrastrukturen ein immer interessanteres Angriffsziel darstellen. Die Zahl der Cyber-Angriffe steigt [PwC], ebenso wie deren Professionalität [BSI]. In den letzten Jahren wurde daher nach effektiven wie auch effizienten Verfahren gesucht, Anomalien auf Rechnern und in Netzwerken aufzuspüren um erkennen zu können, ob eine Attacke auf ein Gerät bzw. das Netzwerk erfolgreich durchgeführt wurde und dadurch die Sicherheit der eigenen Daten bedroht ist. Verfahren aus den letzten fünf Jahren sollen auf dieser Website vorgestellt werden.
Ein Vergleich der hier vorgestellten Verfahren und weitere Ergebnisse finden Sie in der kompletten Seminararbeit, welche im Downloadbereich heruntergeladen werden kann.

Definitionen

Monitoring von Cyber Attacken

Was sind Cyber Attacken?

Als Cyber Attacken werden nicht autorisierte Zugriffe bzw. nicht autorisierte Zugriffsversuche auf ein System verstanden [Eckert].
Beispiele für solche Angriffe sind Malware, also Schadsoftware jeglicher Art, der Zusammenschluss von Systemen zu Botnetzen oder auch so genannte Denial-of-Service (DoS) Attacken.
Ziele solcher Angriffe können unterschiedlich sein und reichen von Spionage bis hin zur Sabotage.
Liegt hinter einer Attacke ein größeres Ziel, also beispielsweise die Stilllegung eines Kraftwerkes, spricht man von Advanced Persistent Threads (APT) [Leopold et al.]. Diese werden häufig durch mehrere kleine, scheinbar unzusammenhängende Attacken durchgeführt, sodass ein Erkennen des eigentlichen Angriffes schwierig ist.

Was ist Monitoring?

Das Erkennen von Angriffen auf ein System ist schwierig, vor allem angesichts der immer komplexer werdenden Attacken. Es muss davon ausgegangen werden, dass nicht mehr alle Angriffe abgewehrt werden können. Immer wichtiger wird es daher, bereits erfolgreich durchgeführte Angriffe zu erkennen und Gegenmaßnahmen zu ergreifen [BSI]. Nur ein „intensives Beobachten […] der gefährdeten Ressourcen“ [Eckert] gibt Hinweise auf nicht erwünschten Datenverkehr innerhalb des Systems. Dieses Vorgehen wird als Monitoring bezeichnet.
Zu den Aufgaben des Monitoring zählen beispielsweise das Sammeln von Informationen, die Analyse des Datenverkehrs oder die Problemdiagnose [Godoy Stênico, Ling]. Die Ergebnisse des Monitorings werden anschließend grafisch aufgearbeitet und in entsprechenden Tools sichtbar gemacht.

Verfahren zur Angriffserkennung

Welche Verfahren werden genutzt?

Für die Erkennung von Angriffen werden hauptsächlich zwei Verfahren implementiert, welche sich im Erkennen von Attacken wesentlich unterscheiden. Dabei handelt es sich zum einen um die Mustererkennung, zum anderen um die Anomalieerkennung.

Mustererkennung

Die Mustererkennung dient dazu, in Abläufen oder Datenströmen innerhalb des Systems ein Muster zu entdecken, welches bereits durch frühere Angriffe bekannt ist und auf Basis dessen einen Angriff zu erkennen.

Ein wichtiger Aspekt dabei ist, dass bei dieser Monitoringmethode tatsächlich nur in bekannten Mustern eine Bedrohung entdeckt werden kann. Dies bedeutet, dass das System mit aktuellen Mustern bekannter Bedrohungen auf den neusten Stand gebracht werden muss, sodass diese Bedrohungen auch erkannt werden können. Dem System unbekannte Angriffe werden durch diese Methode nicht aufgedeckt [Miliken]. Diesem wesentlichen Nachteil steht der Vorteil gegenüber, dass das Konzept sehr gute Ergebnisse bei der Erkennung bereits bekannter Angriffe liefert [García-Teodoro et al.].

Anomalieerkennung

Im Gegensatz zur Mustererkennung benötigt die Anomalieerkennung keine Informationen über bereits bekannte Angriffe in Form von Signaturen oder Mustern. Bei diesem Ansatz ist das normale Verhalten des Systems bekannt. Was von diesem bekannten Verhalten abweicht, wird als Anomalie erkannt und deutet auf einen Angriff hin. Hier löst ein anomales Verhalten einen Alarm aus, nicht wie bei der Mustererkennung ein bekanntes auffälliges Verhalten.
Der wesentliche Vorteil bei der Anomalieerkennung ist, dass auch bisher unbekannte Angriffe entdeckt werden können. [García-Teodoro et al.]

Arten der Anomalieerkennung

Statistical-based

Bei statistischen Anomalieerkennungsverfahren werden bestimmte Aktivitäten aufgezeichnet und ein Profil über das stochastische Verhalten erstellt. Dieses stochastische Verhalten beruht auf verschiedenen Kennzahlen, welche im Voraus festgelegt werden. Weicht das Verhalten des Systems von den erfassten Daten ab, wird eine Anomalie erkannt. [García-Teodoro et al.]

Knowledge-based

Der häufigste Ansatz, mit welchem diese Art der Anomalieerkennung umgesetzt wird, ist das Expertensystem. In Expertensystemen werden die überwachten Daten nach festgelegten Regeln in eine Klassifikation eingeordnet. [García-Teodoro et al.]
Im Zuge der Seminararbeit wurden keine neuen Verfahren identifiziert, welche dieser Art der Anomalieerkennung zugeordnet werden konnte.

Machine learning-based

Bei diesem Ansatz der Anomalieerkennung werden Verfahren aus dem Bereich der künstlichen Intelligenz eingesetzt. Also Beispiele seien hier neuronale Netze oder Algorithmen zur Mustererkennung aus der Bioinformatik genannt. Ein solches System ist selbstlernend, das bedeutet, es verbessert die Qualität seiner Ausgaben (hier: Alarme) anhand seiner vorherigen Ergebnisse und dem Feedback durch einen Anwender. [García-Teodoro et al.]

Neue Verfahren zur Anomalieerkennung

Statistical-based

Analyse von NetFlow-Datein innerhalb von internet Service Providern

Ein Verbundprojekt der Universität Darmstadt entwickelte ein Verfahren zur Anomalieerkennung bei Internet Service Providern (ISPs). Dabei werden NetFlow-Daten innerhalb des Netzes eines ISPs über ein Zeitfenster gesammelt und ein Wert für deren Entropie gebildet. Der Wert kann über die Quell-IP, den Quell-Port, Ziel-IP oder Ziel-Port gebildet werden. Möglich wäre auch, die Metriken zu kombinieren. Falls die Entropie die durchschnittliche Entropie der letzten 𝑛 Zeitfenster, abzüglich eines Schwellwertes, unterschreitet, wird eine Anomalie erkannt. [Baier, Abt]

Die an der Anomalie beteiligten Hosts werden anderen ISPs mitgeteilt. Um zu gewährleisten, dass die Daten von diesen ISPs ausgewertet werden können, werden lediglich ausgehende NetFlows mit Ziel-IP und Ziel-Port untersucht. So hat jeder ISP die Möglichkeit, an einem Angriff beteiligte Hosts zu blockieren. Die Kommunikation zwischen den ISPs trägt außerdem dazu bei, dass die Rate der falsch erkannten Anomalien sinkt.

Das beschriebene Verfahren setzt außerdem Fuzzy Logic ein, um die Art des Angriffs zu bestimmen. Doch da das eigentliche Verfahren der Anomalieerkennung nicht auf maschinellem Lernen beruht, wurde es den statistischen Verfahren zugeordnet.

Trusted Computing

Bei diesem als statistisch eingestuften Ansatz geht es darum, die Integrität von Geräten innerhalb eines Netzwerkes zu gewährleisten. Als Anomalie wird hier „eine Veränderung der Gerätefirmware die nicht durch ein Firmware-Update des Herstellers verursacht wurde ebenso [verstanden], wie das nachträgliche und unplanmäßige Ausführen von nicht autorisierten Programmen auf einem Gerät“ [Dreher, Kehrer].

Auf jedem System (hier: Gerät) befindet sich ein Trusted Platform Module (TPM), welches vor dem eigentlichen Systemstart aktiviert wird und jeden Schritt des Boot-Vorgangs kryptographisch misst. Aus der Messung wird ein Hash-Wert generiert, sodass sich zum Ende des Boot-Vorgangs eine Hash-Kette bilden lässt. Anhand dieser Hash-Kette kann abgeglichen werden, ob der Bootvorgang dem erwarteten Prozess entspricht. Auch nach dem Bootvorgang überwacht das TPM das Starten von Programmen und Prozessen. Konzipiert wurde das vorgestellte Verfahren für Geräte im industriellen Bereich, welche meist nach einem Regelwerk oder einer Definition aufgesetzt werden und sich stark gleichen und somit gut überwachen lassen. [Dreher, Kehrer]

Inter-AS Routing Anomalien

Um Anomalien nicht nur in einem abgeschlossenen System wie dem eigenen Netzwerk zu identifizieren, sondern globale Anomalien zu erkennen, wurde 2014 das sogenannte MonIKA-Framework entwickelt, welches Betreibern von Rechensystemen (Autonome Systeme, AS) erlaubt, Monitoring-Daten auszutauschen. Wichtig hierbei war es, die verschiedenen Interessen der Teilnehmer zu berücksichtigen und diese Daten so weit wie möglich zu anonymisieren. [Meier]

Die Erkennung von Anomalien wie beispielsweise Spoothing oder Hijacking basiert dabei auf bereits publizierten Forschungen33 und wird auf den Monitoring-Daten der beteiligten Betreiber von Rechensystemen ausgeführt. Die Anomalieerkennung wird, zusätzlich zu den bekannten Verfahren, durch das Sammeln und Auswerten zusätzlicher Daten erweitert. Dazu gehören Routing-Beziehungen aus vertrauenswürdigen Quellen um abzuleiten, ob einer Subnetzmaske vertraut werden kann. Dies hilft dabei, auftretende Anomalien weiter als legitim oder illegitim zu klassifizieren. [Wübbeling, Meiser, Elsner]

Analyse von Dateizugriffen

Zu Cyber-Angriffen gehört auch die Spionage vertraulicher (Firmen-)Daten. Eine Möglichkeit, einen solchen Vorfall zu erkennen, wurde von Gates et al. entwickelt. Sie stufen den Informationsgehalt eines Dokumentes anhand seiner Position innerhalb des Systems (Ordnerstruktur) und den Zugriffen anderer Nutzer darauf ein. Anhand des üblichen Verhaltens eines Nutzers kann dann festgestellt werden, ob der aktuelle Zugriff auf ein bestimmtes Dokument seinem vergangenen Verhalten entspricht. Wurde das entsprechende Dokument, auf welches der Nutzer zugreift, als wesentlich wichtiger eingestuft als die bisherigen Dokumente, so kann dies auf einen Fall von Spionage hindeuten. [Gates et al.]

Die Arbeiten von Gates et al. konzentrierten sich auf das Aufdecken von Spionage durch Mitarbeiter. Es sollte allerdings ohne weiteres möglich sein, durch den oben beschriebenen Ansatz auch Zugriffe durch eingeschleuste Malware zu erkennen.

Auch Salem und Stolfo entwickelten einen ähnlichen Ansatz, bei welchem ein Zugriffsprofil des Nutzers erstellt wird. Salem und Stolfo gehen davon aus, dass das Suchverhalten eines maskierten Angreifers durch eine größere Anzahl an Zugriffen und einem weniger zielgerichteten Suchverhalten aufgedeckt werden kann. [Salem, Stolfo]

Machine learning-based

Analyse von Logdateien

Eine Möglichkeit, Anomalien in einem System zu erkennen, stellt die Analyse von Log-Dateien dar. Alle relevanten Log-Dateien werden gesammelt und ausgewertet. Dazu gehören beispielsweise Logs von Firewalls, Anwendungsservern, Tools zur Leistungsmessung oder Intrusion Detection Systemen. Innerhalb der Logs werden sogenannte Atome (einzelne Zeichen oder Zeichenketten) gesammelt, über welche wiederum zusammenhängende Regionen erkannt werden können. Hierzu orientiert sich der Algorithmus an der Mustererkennung aus der Bioinformatik. Tritt bei einem nächsten Aufruf ein Ereignis auf, zu welchem weitere Atome innerhalb einer Region fehlen (entsprechende Einträge in der Firewall oder bestimmte Ressourcen innerhalb des Requests), so kann dies als Anomalie und somit als Angriff gewertet werden. [Fiedler et al.]

Andere Ansätze schränken sich bei der Verwendung von Log-Dateien ein. 2014 stellten Manadhata et al. einen Ansatz vor, bei welchem sie die Daten aus den HTTP Proxy Logs eines Unternehmens in einen Graphen übertrugen, in welchem jeder Knoten für einen Host und jede Kante für eine Verbindung stand. Durch eine aus Unternehmensinformationen gewonnene ground truth, welche Hosts als schädlich gelten und welche nicht, und der Anwendung eines belief propagation Algorithmus konnte mit hoher Wahrscheinlichkeit kalkuliert werden, welche der weiteren Hosts infiltriert waren. [Manadhata et al.]

Complex Event Processing (CEP)

Ein weiterer Ansatz, Anomalien mithilfe maschinellen Lernens zu erkennen, ist die Erweiterung und Analyse von NetFlow-Daten. Im Projekt ‚innovative Anomaly- and Intrusion-Detection‘ (iAID) des Bundesministeriums für Bildung und Forschung wurde ein neues Datenformat entwickelt, die so genannten IAS-Flow-Daten, welche auf NetFlow basieren. Zusätzlich zu den Informationen, welche NetFlow-Sensoren innerhalb des Netzwerks liefern, werden unter anderem Zähler erfasst, welche zuvor definiert werden können (z. B. Anzahl der Paket Header). Eine Complex Event Processing (CEP) Engine bereitet die Daten weiter auf und erstellt zusätzliche Ereignisse durch die Korrelation über Zeit und Reihenfolge der IAS-Flow-Daten. [Gad]

Die so gesammelten und erzeugten Daten werden an die Anomalieerkennung weitergeleitet, welche aus zwei Phasen besteht: In einem ersten Schritt werden die Ereignisse anhand von einfachen statischen Regeln bis hin zu intelligenten Automatismen (z.B. K-Means etc.) in drei Cluster eingeteilt, den White-, Black- und Grey-Listen. Ereignisse der erstgenannten Liste sollen im Anschluss nicht weiter untersucht werden, sie gehören zum harmlosen Datenverkehr. Ereignisse aus der zweitgenannten Liste werden dem Administrator mitgeteilt. Inhalte der Grey-Liste werden durch „gängige Verfahren wie Probabilistische Neuronale Netze“ untersucht (zweite Phase der Anomalieerkennung) und in die White- bzw. Black-Liste eingetragen. Da K-Means und Neuronale Netze zu selbstlernenden Verfahren zählen, wurde diese Art der Anomalieerkennung dem maschinellen Lernen zugeordnet. [Gad]

Content Anomaly Detection (CAD) über mehrere Server

Boggs et al. sammeln Daten von mehreren Servern, um den Blick von einer einzelnen Domäne auf mehrere Seiten zu erweitern. Zu diesem Zweck werden durch Content Anomaly Detection (CED) Sensoren die Daten der eingehenden GET Requests auf jedem Server gesammelt. Diese Daten werden normalisiert und decodiert, um einen einheitlichen Vergleich anstellen und die Daten auswerten zu können. Zur Auswertung werden sogenannte Bloom Filter genutzt, welche die eingehenden Daten in 𝑛-Gramme teilen und analysieren. Werden auf Basis der vorher verarbeiteten Trainingsdaten Anomalien erkannt, werden diese Informationen über das Alarmaustauschsystem Worminator an die anderen beteiligten Server verteilt, was eine schnellere und zuverlässigere Erkennung neuartiger Attacken auf globaler Ebene ermöglicht. [Boggs et al.]

Software Defined Networking (SDN)

Ein Ansatz, welcher vor allem für Heimnetzwerke oder kleinere Firmen gedacht ist, macht sich das Software Defined Networking (SDN) zunutze. SDN ist ein Konzept zum Netzwerk-Aufbau. Dabei wird die Kontrolle von der Hardware entkoppelt und an den Controller übergeben. Dies ermöglicht es, Algorithmen zur Anomalieerkennung in den Controller zu implementieren, sodass die Verbindungsdaten durch diesen ausgewertet und entsprechend verarbeitet (geblockt oder weitergeleitet) werden können. In einem ersten Prototypen von Mehdi et al. wurden vier bereits bekannte Algorithmen implementiert, wovon zwei selbstlernend agieren. Es wäre jedoch durch die Möglichkeit, den Controller softwareseitig zu steuern denkbar, jeden beliebigen Algorithmus zu implementieren. [Mehdi, Khalid, Khayam]

Quellenangaben

Zusammenfassung

[BSI] Bundesamt für Sicherheit in der Informationstechnik, Die Lage der IT Sicherheit in Deutschland 2016. Frankfurt am Main 2016.
[PwC] PwC, Anzahl der jährlichen Cyberangriffe weltweit in den Jahren 2009 bis 2014 (im Millionen). https://de.statista.com/statistik/daten/studie/348766/umfrage/jaehrliche-anzahl-von-internetangriffen-weltweit/ o.O. o.J., Abruf: 2016-11-16.

Definitionen

[Eckert] Claudia Eckert: IT-Sicherheit, Konzepte – Verfahren – Protokolle. 8. Auflage, Oldenburg Verlag, München 2013.
[García-Teodoro et al.] Pedro García-Teodoro, Jesus E. Díaz-Verdejo, Gabriel Maciá-Fernández, Erique Vázquez: Anomaly-based network intrusion detection: Techniques, systems and challenges. In: Computers & Science. Nr. 28, 2009, S. 18-28.
[Godoy Stênico, Ling] Jeferson W. de Godoy Stênico, Lee L. Ling: Network Traffic Monitoring and Analysis. In: Al-Sakib K. Pathan: The State of the Art in Intrusion Prevention and Detection. Taylor & Francis Group. Boca Raton 2014, S. 23-46.
[Leopold et al.] Helmut Leopold, Florian Skopik, Thomas Bleier, Josef Schröfl, Mike Fandler, Roland Ledinger, Timo Mischitz: Einleitung zum Cyber Attack Information System. In: Cyber Attack Information System. Springer-Verlag, Berlin, Heidelberg 2015, S. 1 - 12.
[Milliken] Jonny Milliken: Introduction to Wireless Intrusion Detection Systems. In: Al-Sakib K. Pathan: The State of the Art in Intrusion Prevention and Detection. Taylor & Francis Group. Boca Raton 2014, S. 335-360.

Verfahren

[Baier, Abt] Harald Baier, Sebastian Abt: Abschlussbericht zum FHprofUnt Verbundprojekt Institutional Network and Service Provider Anomaly Inspection (INSAIN): Ergebnisse des Verbundpartners Hochschule Darmstadt. Darmstadt 2015.
[Boggs et al.] Nathaniel Boggs, Sharath Hiremagalore, Angelos Stavrou, Salvatore J. Stolfo: Cross-Domain Collaborative Anomaly Detection: So Far Yet So Close. In: Robin Sommer, Davide Balzarotti, Gregor Maier (Hrsg.): Recent Advances in Intrusion De-tection. Springer-Verlag, Berlin, Heidelberg 2011, S. 142-160.
[Dreher, Kehrer] Andreas Dreher, Stephan Kehrer: Schlussbericht zum Teilvorhaben „Spezifizierung und Implementierung eines Anomaliedetektors für industrielle Netzwerkgeräte auf Geräteebene und in der Netzwerktopologie“. Neckartenzlingen 2014.
[Fiedler et al.] Roman Fiedler, Florian Skopik, Thomas Mandl, Kurt Einzinger: Erkennen von Anomalien und Angriffsmustern. In: Cyber Attack Information System. Springer-Verlag, Berlin, Heidelberg 2015, S. 89-118.
[Gad] Rüdiger Gad: Schlussbericht ‚innovative Anomaly- and Intrusion-Detection (iAID)‘ Teilvorhaben: ‚Anomaly Detection and Response System (AdaRS)‘. Frankfurt am Main 2015.
[Gates et al.] Christopher Gates, Ninghui Li, Zenglin Xu, Suresh N. Chari, Ian Molloy, Youngja Park: Detecting Insider Information Theft Using Features from File Access Logs. In: Miroslaw Kutylowski, Jaideep Vaidya (Hrsg.): Computer Security – ESORICS 2014: 19th European Symposium on Research in Computer Security, Wroclaw, Poland, September 7-11, 2014. Proceedings, Part I. Springer-Verlag, Cham, Heidelberg, New York, Dordrecht, London 2014, S. 383-400.
[Manadhata et al.] Pratyusa K. Manadhata et al.: Detecting Malicious Domains via Graph Inference. In: Miroslaw Kutylowski, Jaideep Vaidya (Hrsg.): Computer Security – ESORICS 2014: 19th European Symposium on Research in Computer Security, Wroclaw, Poland, September 7-11, 2014. Proceedings, Part I. Springer-Verlag, Cham, Heidelberg, New York, Dordrecht, London 2014, S. 1-18.
[Mehdi, Khalid, Khayam] Syed A. Mehdi, Junaid Khalid, Syed A. Khayam: Revisiting Traffic Anomaly Detection Using Software Defined Networking. In: Robin Sommer, Davide Balzarotti, Gregor Maier (Hrsg.): Recent Advances in Intrusion Detection. Springer-Verlag, Berlin, Heidelberg 2011, S. 161-180.
[Meier] Michael Meier: Abschlussbericht für das Teilvorhaben „Erkennung von Anomalien“ (EvA) im Verbundprojekt „Monitoring durch Informationsfusion und Klassifikation zur Anomalieerkennung“ (MonIKA). Wachtberg 2014.
[Mezini] Mira Mezini: ACCEPT Anomaliemanagement in Computersystemen durch Complex Event Processing Technologie (Anomaly Management in computer systems through complex event processing technology). Darmstadt 2015.
[Salem, Stolfo] Malek B. Salem, Salvatore J. Stolfo: Modeling User Search Behavior for Masquerade Detection. In: Robin Sommer, Davide Balzarotti, Gregor Maier (Hrsg.): Recent Advances in Intrusion Detection. Springer-Verlag, Berlin, Heidelberg 2011, S. 181-200.
[Wübbeling, Elsner, Meier] Matthias Wübbeling, Till Elsner, Michael Meier: Inter-AS Routing Anomalies: Improved Detection and Classification. In: Pascal Brangetto, Markus Maybaum, Jan Stinissen: Proceedings of 6th International Conference on Cyber Conflict. Tallinn 2014, S. 223-238.