Selbstlernende Systeme zur Erkennung unbekannter Angriffe

Ähnliche Dokumente
Intelligente Intrusion-Detection-Systeme für Industrienetze. Prof. Dr. Konrad Rieck ITS KRITIS-Jahrestagung

Intrusion Detection Systeme. Definition (BSI) Alternative Definition IDS

Intrusion Detection Systeme

Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks

SPRING. GI FG SIDAR Graduierten-Workshop über Reaktive Sicherheit. Ulrich Flegel Collin Mulliner Patrick Stewin

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

APTs: Sind gezielte Angriffe normal? Jürgen Eckel Helene Hochrieser

Network Intrusion Detection

Integriertes Management von Sicherheitsvorfällen

Master Seminar. Fortgeschri2ene anomaliebasierte Erkennung von Network Layer Angriffen

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an.

Intrusion Detection Systeme

Allgemeines zur Sicherheit von IT-Systemen. Schutzmechanismen. Intrusion Detection

Seminar aus Informatik

A new Attack Composition for Network Security

Janotta und Partner. Projekt DEFENSE

ELIT2012: Security. Security: Potentielle Gefahren und Gegenmaßnahmen

Treffen der der Fachgruppe SIDAR Security Intrusion Detection And Response

Ein Kommunikationslagebild für mehr IT-Sicherheit

Intrusion Detection and Prevention

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Frühwarnsysteme mit Live-Demo. Internet-Fr. Dominique Petersen petersen (at) internet-sicherheit.de. Systems 2008 in München M

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Echtzeit-Erkennung von Angriffen aus dem Internet HPI Real-Time Event Analysis and Monitoring System (REAMS) David Jaeger Doktorand

Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques)

Datenspeicherung am Informationsarbeitsplatz. Datenspeicherung am Informationsarbeitsplatz. Kommunikation I: Vermittlungs- und Übertragungsverfahren

Malware. Inhaltsverzeichnis. Christian Laqua. 7. Juni Einleitung 2. 2 Mechaniken zur Malwareerkennung 2. 3 Fazit 4

Automatisches Erkennen mobiler Angriffe auf die IT-Infrastruktur. Prof. Dr. Kai-Oliver Detken, DECOIT GmbH

Bibliografische Information der Deutschen Nationalbibliothek:

Erweiterte Analysemöglichkeiten für Firewalls durch Anbindung von Intrusion Detection Systemen

Session: 1 SO Selbstoptimierte Zustandsüberwachung für die Prognose von Fehlzuständen für Windkraftanlagen SO-Pro (Resolto)

Janotta und Partner. Projekt DEFENSE

Entwicklung eines Intrusion-Detection-Verfahrens zur Erkennung von VoIP-initiierten DoS-Attacken auf Rettungsleitstellen

Immer noch nicht sicher? Neue Strategien und Lösungen!

Erkennung von bösartigen Netzwerkverbindungen mittels Verhaltensgraphenanalyse

Systemsicherheit (Diplom) Netzsicherheit (Master)

Vorlesung SS 2001: Sicherheit in offenen Netzen

Internet-Infrastruktur unter dem Gesichtspunkt der IT-Sicherheit

Netzwerk Intrusion Detection mit Snort in schnellen Netzen

Intrusion Detection Basics

Klassifikation und Ähnlichkeitssuche

Effizienter Staat. Sicherheit und Opensource? Christoph Herrmann science + computing ag Friedrichstr Berlin

Dynamische Malware- und Botnetzanalyse Idee und erste Ergebnisse

Intrusion Detection & Response

Informations- und Netzwerksicherheit: Anforderungen, Ziele und Konzepte. Warum ist Sicherheit überhaupt ein Thema?

Netzsicherheit 18: Firewalls, Intrusion Detection Systeme, Malware-Detektion

Firewall Proxy. Veranstaltung. Sicherheit in Rechnernetzen

IPv6 Intrusion Detection mit Snort

Eine Einführung in R: Hochdimensionale Daten: n << p Teil II

Security for Systems Engineering VO 08: Intrusion Detection & Intrusion Prevention

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg,

Klausur - Computernetzwerke

Rechnernetze und -Organisation Michael Hutter Karl C. Posch.

15. Firewall 15. Firewalls unter UNIX

Was sind die größten IT-Sicherheitsherausforderungen?

Next-Generation Firewall

Systemsicherheit 4: Wireless LAN

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier,

IPv6 Intrusion Detection mit Snort

Resolver! DNS: Liefert Resolver cached Antwort (mit Flag Time To Life, TTL)

Anomalieerkennung durch Untersuchung hostspezifischer Kommunikationsprofile im Netzwerkverkehr

Überblick. Einführung in die automatische Mustererkennung Grundlagen der Wahrscheinlichkeitsrechnung

Sinn und Unsinn von Desktop-Firewalls

honeytrap Ein Meta-Honeypot zur Identifikation und Analyse neuer Angriffe

Ein nationales IT-Frühwarnsystem Herausforderungen, Technologien und Architekturen

Präsentation IKS. Desktop Personal Firewall (DPF) Virenscanner

Thunderbird-Plugin zur Erkennung anhangverdächtiger s

Neue Trends aus dem maschinellen Lernen in Photogrammetrie und Fernerkundung. Jan Dirk Wegner Photogrammetry and Remote Sensing, ETH Zürich

Informationen über Projektgruppen der Informatik 4 (AGs Martini + Meier)

SYN Grundlagen Algorithmen Anwendung FIN. Anomalieerkennung. UnFUG WS2011/2012. Alexander Passfall Hochschule Furtwangen

Inhaltsverzeichnis. 1 Einleitung 1

Scientia est potentia. Intrusion Detection (und Response) am Beispiel Snort

Internet LUFA. Topologiebeschreibung LUFA Speyer Gesamtübersicht. Co Location in einem RZ. LUFA Speyer Topologiebeschreibung Projekt Nr.

IT-Sicherheit. Eine wichtige Erfolgsvoraussetzung. Norbert Pohlmann. Vorstand Utimaco Safeware AG. Internet. Security. Mobile/Desktop.

Desktop Personal Firewall und Virenscanner

Wie man das Internet abschaltet

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Mathematische Grundlagen III

Universität Potsdam Institut für Informatik Lehrstuhl Maschinelles Lernen. Clusteranalyse. Tobias Scheffer Thomas Vanck

Neueste Entwicklungen in der Firewall- Technologie

Matrikelnummer Michael Meier (EFIB #09)

Intrusion Detection. Inhalt. Einleitung. Angriffe auf Netzwerksysteme. Intrusion Detection am Beispiel von Snort. Implementierung.

Network Intrusion Detection

IT-Sicherheit - Sicherheit vernetzter Systeme -

Rechnern netze und Organisatio on

Techniken zur Identifizierung von Netzwerk-Protokollen

Datenstrukturen und Algorithmen. Christian Sohler FG Algorithmen & Komplexität

Clustern: Voraussetzungen

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage

Flow-basierte Botnetzerkennung Idee und erste Ergebnisse

IDS Intrusion Detection Systems

Mustererkennung und Klassifikation

Informations- und Netzwerksicherheit: Anforderungen, Ziele und Konzepte

INTELLIGENTE DATENANALYSE IN MATLAB

Analyse von Betriebssystem-Logdateien

und proaktive IT-Sicherheit

Inhaltsverzeichnis. 1 Einleitung... 1

Mathematiker als Beruf - Was ist das? Jahrestreffen von Alumni, Studierenden und Dozenten 24. November 2012

Transkript:

Selbstlernende Systeme zur Erkennung unbekannter Angriffe Konrad Rieck und Pavel Laskov Fraunhofer-Institut FIRST Abt. Intelligente Datenanalyse 31.8.2007, Mannheim

IDA im Profil Fraunhofer FIRST & TU-Berlin Intelligente Datenanalyse (IDA) 1 Professor, 15 Postdocs, 11 Doktoranden, 7 Studenten Projekte bei IDA Berlin Brain-Computer-Interface (BBCI) Datenanalyse für IT-Sicherheit Bioinformatische Anwendungen Chemoinformatische Anwendungen 2

Warum IT-Sicherheit? IT-Technik als Risikofaktor Omnipräsenz von Angriffen, Würmern und Viren Wirtschaftliche Schäden und Vertrauensverlust IT-Sicherheitsmaßnahmen Präventiv z.b. Authentikation, Verschlüsselung Reaktiv z.b. Intrusion-Detection-Systeme (IDS) Die Daten sind futsch! 3

Klassische IDS Kopf Netzpaket Inhalt ETH IP TCP GET /scripts/..%c1%9c../system32/cmd.exe Signaturanalyse TCP..%c1%9c.. Nimda-Wurm Ineffektiv gegen unbekannte und neue Angriffe..%c1%9c.. Varianten..%c1%af....%c1%1c....%255c....%%35%63....%c0%9v....%%35c....%252f.. 4

Selbstlernende IDS? Kopf Netzpaket Inhalt ETH IP TCP GET /scripts/..%c1%9c../system32/cmd.exe Anomalieerkennung GET /scripts/..%c1%9c../system32/cmd.exe normal anormal GET /scripts/..%%35c../system32/cmd.exe GET /scripts/..%c0%9v../system32/cmd.exe 5

Maschinelles Lernen für IDS IDS Datenerhebung Extraktion strukturierter Netzmerkmale 1 Merkmalsexktraktion Angriffserkennung Einbettung strukturierter Netzmerkmale Unüberwachte Anomalieerkennung 2 3 Maschinelles Lernen 6

Strukturierte Merkmale Paketinhalt GET /index.html Extraktion strukturierter Merkmale GET T /... ET /i /in N-gramme GET index html Tokens GET html index Parsebäume (Rieck & Laskov, DIMVA 2006) 7

Beispiel: N-Gramme Nimda-Wurm GET /scripts/..%%35c../system32/cmd.exe HTTP-Pakete GET /publications/mind.html GET /mind/code.html GET /mind/duessel/code.html GET /homepage/rieck.html GET /index.html Differenz von 4-Gram-Frequenzen Nimda IIS attack and HTTP traffic comparison 0.05 frequency difference 0.04 0.03 0.02 0.01 0!0.01 %%35 35c. 5c.. c../!0.02 4!grams 8

Merkmalseinbettung Einbettung in hochdimensionalen Merkmalsraum Dimensionen entsprechen Merkmalsfrequenzen Beispiel: 4-Gramme pro HTTP-Verbindung 0.015 GET Acce Acce 0.01 HTTP Pipelining %%35... 0.005 Ähnlichkeit von Inhalten 0 0 %%35 0.05 0.01 GET 0.005 0 9

Maschinelles Lernen Theorie und Methoden zur Abschätzung von funktionalen Abhängigkeiten aus Daten X Y θ Überwachtes Lernen > Markierung der Daten Unüberwachtes Lernen > Statistik der Daten X θ 10

Anomalieerkennung (1) Unüberwachte Anomalieerkennung > Menge von eingebetteten Paketen x 1,..., x n R m < Geometrische Abweichung s von Lernmodell Beispiele für Anomalieerkennungsmethoden Lernmodell Methode Quarter-sphere SVM s(x) = x 1 n x i n i=1 Zentroid-Modell (Laskov et al., DIMVA 2004) 11

Anomalieerkennung (2) Lernmodell Methode Linkage Clustering s(x) = 1 C mit x C Cluster-Modell (Portnoy et al., DMSA 2001) Zeta-Score s(x) = 1 k k x nn i (x) i=1 1 k 1 Dichte-Modell (Rieck & Laskov, JICV 2007) k i=1 k nn i (x) nn j (x) j=1 12

Evaluation Fragestellung Erkennungsleistung bei unbekannten Angriffen Einfluß des Lernmodells und der Merkmale Vergleich mit einem signaturbasierten IDS Evaluationsdaten PESIM 2005 Datensatz Netzverkehr des IDA-Labors Angriffe eines Pentesters (DARPA 1999 Datensatz) 13

Einfluß der Lernmodelle Vergleich implementierter Lernmodelle Kriterium: AUC0.01 - Area under ROC in (0,0.01) Mittelung über N-Gramme von 1 bis 8 Protokoll Bestes Modell AUC0.01 HTTP Zentroid (qs-svm) 0.781 FTP Dichte (Zeta-Score) 0.746 SMTP Cluster (Linkage-clustering) 0.756 Unterschiedliche Ausprägung von Normalität bei unterschiedlichen Protokollen 14

Erkennungsleistung 1 HTTP traffic 1 FTP traffic 1 SMTP traffic 0.9 0.9 0.9 0.8 0.8 0.8 true positive rate 0.7 0.6 0.5 0.4 0.3 true positive rate 0.7 0.6 0.5 0.4 0.3 true positive rate 0.7 0.6 0.5 0.4 0.3 0.2 N -G ramme 0.1 Tok ens Snort 0 0 0.002 0.004 0.006 0.008 0.01 false positive rate 0.2 N -G ramme 0.1 Tok ens Snort 0 0 0.002 0.004 0.006 0.008 0.01 false positive rate 0.2 N -G ramme 0.1 Tok ens Snort 0 0 0.002 0.004 0.006 0.008 0.01 false positive rate Evaluation auf realen Netzdaten (PESIM2005) Erkennung von 80-93% unbekannter Angriffe in HTTP, FTP und SMTP ohne Fehlalarme Deutliche Leistungssteigerung gegenüber Snort-IDS (Rieck & Laskov, JICV 2007) 15

Evasionstechniken Ansätze Red herring Denial-of-Service durch zufällige Paketinhalte Creeping poisoning Unterminierenung des Normalmodells Mimikry-Angriffe Anpassung von Angriffsmuster an Normaldaten... aber (1) Gravierender für Signaturen, e.g. Sneeze (2,3) Kritisches Insiderwissen notwendig 16

Zusammenfassung Maschinelles Lernen zur Angriffserkennung Komplementär zur Signaturanalyse Effiziente Erkennung unbekannter Angriffe Hohe Effektivität bei geringer Fehlalarmrate Perspektiven Realer Einsatz - in vitro zu in vivo Komplettierung durch Signaturerzeugung... und neue Domänen, z.b. Malware 17

Fragen & Antworten.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback