Towards Dynamic Attack Recognition for SIEM. Stefan Langeder

Transkript

1 Towards Dynamic Attack Recognition for SIEM Stefan Langeder

2 Stefan Langeder : IT Security FH St. Pölten : Information Security FH St. Pölten Seit 2013: Security Consultant ANLX

3 Überblick Das Projekt Was ist SIEM? Wo liegt das Problem? Dynamic Attack Recognition Normalisierung von Daten Machine Learning Erkennung von Angriffsmustern

4 Das Projekt Entwicklung von SIEM Appliances in Schwesterfirma iqsol Idee des Projektverantwortlichen Umgesetzt als Diplomarbeit an der FH St. Pölten

5 Was ist SIEM? Grundsätzlich Advanced Log Management Sammelt Logs/Eevents Korreliert Events Generiert Alarme Server / Clients Router SIEM System Anti Virus Firewall Webapplikation

6 Problemstellung SIEM Systeme arbeiten im Allgemeinen regelbasierend Statische Regeln müssen exakt sein Regelwerke erfordern kontinuierliche Pflege Je komplexer das Szenario, desto schwieriger, es mit Regeln zu beschreiben if (Feld x == "Failed admin logon"){ if (SRC == attacker.com){ if (DST.PORT == 1234){ if (TIMEGAP < 1 sec){ x+=1; if ( x > 10){ send ALERT; if (Feld x == "Failed root logon"){ if (SRC == attacker.com){ if (DST.PORT == 1234){ if (TIMEGAP < 1 sec){ x+=1; if ( x > 10){ send ALERT;

7 Distributed Targeted Attack Alarmierung AV Alarmierung Firewall Targeted Malicious s BF an öffentlichen Schnittstellen

8 Des Weiteren Hinzufügen neuer Services Änderungen in der physikalischen Netzwerk- Infrastruktur Neue IP-Adressen Neue Domains

9 Herausforderung 1. Finden von Methoden zur dynamischen Klassifikation von Eingangsdaten 2. Finden von Methoden, die den Zusammenhang von Security Events dynamisch ermitteln

10 Daten normalisieren Normalisieren der Daten Extrahieren von gemeinsamen Merkmalen unterschiedlicher Nachrichtenformate zur Datenweiterverarbeitung <Event xmlns=" - <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA C30D" /> <EventID>4656</EventID> <Version>1</Version> <Level>0</Level> <Task>12812</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T09:40: Z" /> <EventRecordID>100340</EventRecordID> <Correlation /> <Execution ProcessID="944" ThreadID="952" /> <Channel>Security</Channel> <Computer>HOST-localdomain.local</Computer> <Security /> </System> - <EventData> <Data Name="SubjectUserSid">S </Data> <Data Name="SubjectUserName">user</Data> <Data Name="SubjectDomainName">LOCALDOMAIN</Data> <Data Name="SubjectLogonId">0x41bba</Data> Nov 5 10:39:01 PTANLX CRON[4244]: pam_unix(cron:session): session opened for user root by (uid=0) Nov 5 10:39:01 PTANLX CRON[4244]: pam_unix(cron:session): session closed for user root Nov 5 10:47:10 PTANLX sshd[4256]: Accepted password for root from port ssh2 Nov 5 10:47:10 PTANLX sshd[4256]: pam_unix(sshd:session): session opened for user root by (uid=0)

11 Beispieltabelle

12 Lösung Fragestellung 1 Klassifikation der Daten Taggen von semantisch gleichwertigen Nachrichten if (Feld x == "Failed admin logon"){ if (SRC == attacker.com){ if if (Feld (DST.PORT x == "Failed == 1234){ root logon"){ if if (SRC (TIMEGAP == attacker.com){ < 1 sec){ if x+=1; (DST.PORT == 1234){ if (TIMEGAP < 1 sec){ x+=1; if ( x > 10){ send ALERT; if ( x > 10){ send ALERT; if (Feld x == SHARED LABEL){ if (SRC == attacker.com){ if (DST.PORT == 1234){ if (TIMEGAP < 1 sec){ x+=1; if ( x > 10){ send ALERT;

13 Lösung Fragestellung 1 Tabelleneinträge in numerische Werte umwandeln: Sentence one: Bob eats fish. Sentence two: Linda eats cheese.

14 Lösung Fragestellung 1 Trainieren des ML-Algorithmus Klassifikation von Test-Daten

15 Lösung Fragestellung 2 Erkennen von Angriffsmustern Herausforderung: Identifikation bisher unbekannter Muster Diverse Lösungansätze bekannt (ML-basierend) Problem: Angriffsmuster muss vordefiniert sein. Möglicher Ansatz im Bereich IDS gefunden

16 Lösung Fragestellung 2 ACM Alert Correlation Matrix Korrelationsstärke zweier aufeinander folgender Alarme wird via SVM berechnet Update der ACM A1 A2 A3 A4 A1 A1:A1 A1:A2 A1:A3 A1:A4 A2 A2:A1 A2:A2 A2:A3 A2:A4 A3 A3:A1 A2:A3 A3:A3 A3:A4 A4 A1:A4 A2:A4 A4:A3 A4:A4

17 Lösung Fragestellung 2 Zwischenschritt: Erzeugung von Zwischenalarmen Notwendig für ACM Regelbasierend Annahme: Endliche Anzahl von möglichen Attacken

18 Lösung Fragestellung 2 Zwischen- Alarm

19 Results Sehr gute Ergebnisse in Testumgebung Tests im freien Feld notwendig Wird der Aufwand gegenüber regelbasiertem System reduziert? Wird die Fehleranfälligkeit reduziert An der Oberfläche gekratzt

20 Vielen Dank für die Aufmerksamkeit!