Fachgruppe SIDAR der Gesellschaft für Informatik e.V.
 
Fachgruppe SIDAR
Zielgruppe
Mitglied werden
Mailingliste
Aktuelles
 
Themen
Verwundbarkeitsanalyse
Intrusion Detection
Malware
Incident Management
Forensik
 
Veranstaltungen
SPRING
CIPHER
DIMVA 2007
IMF 2007
 
Archiv
 
Organisatorisches
Fachgruppen-Leitung
Fachbereich Sicherheit
Gesellschaft für Informatik e.V.
Impressum
 
Verantwortlich für diese Webseite ist die GI-Fachgruppe SIDAR.
Wir sind nicht verantwortlich für die Inhalte externer Internetseiten.
Copyright © 2004 Fachgruppe SIDAR der GI e.V. - Alle Rechte vorbehalten.
Webmaster: <webmaster-/at/-gi-fg-sidar.de>
Tagungsbericht  

Symposium on Recent Advances in Intrusion Detection (RAID) 2002

Zusammenfassung des Programms
Michael Meier
Brandenburgische Technische Universität Cottbus
mm@informatik.tu-cottbus.de
www-rnks.informatik.tu-cottbus.de/~mm

 

Das fünfte internationale Symposium on Recent Advances in Intrusion Detection (RAID) fand vom 12. bis zum 14. Oktober 2002 in Zürich statt. Es wurde von ETH Zürich und IBM Research Zürich organisiert. General Chairs waren Günter Karjoth (IBM Research, Zürich) und Jürg Nievergelt (ETH Zürich). Program Chairs waren Andreas Wespi (IBM Research, Zürich) und Giovanni Vigna (UC Santa Barbara, USA). Die Veranstaltung besuchten ca. 160 Teilnehmer (siehe Tabelle 1 und 2).

Tabelle 1: Teilnehmer nach Region
Prozent der Teilnehmer Region
28% Europa
25% USA
24% Schweiz
16% Asien
6% Afrika
1% Sonst.

Tabelle 2: Teilnehmer nach Bereich
Prozent der Teilnehmer Bereich
44% Akademiker
43% Industrie
12% Regierung etc.

Auf der Tagung wurden 17 Full Papers (von 64 eingereichten), die im Tagungsband veröffentlicht wurden, sowie 3 Short Papers (von 17 eingereichten) präsentiert. Des weiteren gab es einen eingeladenen Vortrag und eine Podiumsdiskussion zum Thema "Cyberwar". Der Tagungsband ist beim Springer-Verlag in der Reihe Lecture Notes in Computer Science (LNCS 2516) erschienen. Im folgenden eine Übersicht des Programms mit Anmerkungen zu den einzelnen Vorträgen.


Invited Talk: Challenges for the Future of Intrusion Detection, Marcus J. Ranum, USA


Marcus ging in seinem Vortrag auf Herausforderungen an Intrusion Detection Systeme (IDS) aus kommerziellem Blickwinkel ein und kommt zu der Feststellung, dass IDS noch nicht funktionieren, obwohl es sowohl seitens der Verkäufer als auch Käufer ein finanzielles Interesse an dieser Technologie gibt. Als zukünftige Problemstellungen identifiziert er

  1. Alert Management,
  2. Daten-Formate und -Management und
  3. Anomalieerkennung.

Er führte aus, dass die Fehlalarmraten derzeit die Nützlichkeit von IDS aufheben. Gleichzeitig plädiert er für die Zuordnung von Konfidenzwerten zu den Alarmmeldungen (Wie zuverlässig ist die Meldung). IDS sollten davon ausgehen, dass ihre Ausgaben Eingaben für andere Systeme sind (Pipe-Philosophie). Benutzerschnittstellen müssen intuitiver werden und jede Benutzereingabeaufforderung muss mit einer "Dont-bother-me-again"-Check-Box versehen werden. Schließlich diskutiert er die Notwendigkeit der Integration von IDS, Firewalls, Viren-Scannern, Spam-Filtern, etc. sowie die Verwendung einer gemeinsamen Wissensbasis durch diese Systeme. Er prognostiziert den nächsten "heißen Markt" im Bereich von Korrelation und Management von Ereignissen von verschiedenen Geräten/Systemen. Zur Anomalieerkennung vertritt er die Meinung, dass ihr Potential längst nicht ausgeschöpft ist, und die Frage, ob es im "Grossen" funktioniert, noch ungeklärt ist.


Session 1: Stepping Stone Detection - Chair: Giovanni Vigna (UC Santa Barbara, USA)


Mit Stepping Stones werden hier Zwischensysteme bezeichnet, die von Angreifern missbraucht werden, um ihre Herkunft zu verbergen. Häufig stellen Angreifer die Verbindung zum eigentlichen Ziel über ganze Ketten von Stepping Stones her.

Detecting Long Connection Chains of Interactive Terminal Sessions

Kwong H. Yung (Stanford University, Statistics Department, USA)

Abstract

Der Autor des Papiers konnte nicht nach Zürich kommen. John McHugh (CMU/SEI CERT) stellte in Vertretung das Papier vor. Es wurde ein Ansatz entwickelt, der bestimmte Charakteristika von Kommunikationsprotokollen interaktiver Terminaldienste ausnutzt, um zu überprüfen, ob eine Verbindung über mehrere Stepping Stones läuft. Nachdem der Client eines Terminaldienstes ein Paket mit dem eingegebenen Zeichen an den Server gesendet hat, wartet er auf ein "Reply Echo" vom Server. Wenn die Verbindung über mehrere Zwischensysteme läuft, dann muss der nächste Server das Paket weiterleiten bis es das Zielsystem erreicht hat. Nach dem Eintreffen am Zielsystem wird von dort ein "Reply Echo" gesendet, das wiederum die Kette von Zwischensystemen durchläuft und schließlich den Client erreicht. Für den Client scheint das "Reply Echo" von dem Server zu kommen, der ihm am nahsten liegt. Für Verbindungen über eine Vielzahl von Zwischensystemen ergeben sich relativ große Zeitspannen zwischen dem "Client Request" und dem "Server Reply Echo". Wir nehmen im folgenden eine Verbindung eines Clients über die Server (Stepping Stones) S1, S2, ... zum Server S10 an. S1 sei der dem Client am nahsten gelegene Server. Sobald die Clientanfrage den Server S1 erreicht, wird sie über S2 bis hin zu S10 weitergeleitet. Wenn der Server S1 aufgrund der entstehenden Verzögerungen das "Reply Echo" von S10 nicht innerhalb einer bestimmten Zeitspanne an den Client zurücksenden kann, dann sendet er dem Client zwischenzeitlich ein "Delayed Acknowledgment". Sei nun t1 der Zeitpunkt an dem der Client das Paket absendet, t2 der Zeitpunkt an dem der Client das "Delayed Acknowledgment" erhält und t3 der Zeitpunkt an dem das "Reply Echo" beim Client eintrifft, wobei t1 < t2 < t3. Dann charakterisiert die Zeitspanne t2 - t1 die Übertragungszeit zwischen Client und S1. Hingegen beschreibt die Zeitspanne t3 - t1 die Übertragungszeit zwischen Client und S10. Die Differenz zwischen diesen beiden Zeitspannen kann nun zur Abschätzung der Anzahl der Stepping Stones zwischen Client und Server verwendet werden. Ein Vorteil dieses Verfahrens ist, dass es auch für verschlüsselte Verbindungen funktioniert, da es nicht auf Analysen von Paketinhalten sondern Paketverzögerungen basiert. Während verschiedene andere Verfahren zur Stepping-Stone-Detection Netzwerkverkehr von verschiedenen Teilstrecken miteinander korrelieren, ist ein interessanter Vorteil des vorgestellten Ansatzes, dass er in Isolation an einem einzelnen Punkt realisiert werden kann. Ergebnisse von experimentellen Untersuchungen des Ansatzes unter Verwendung des SSH-Protokolls finden sich im Papier.

Multiscale Stepping-Stone Detection: Detecting Pairs of Jittered Interactive Streams by Exploiting Maximum Tolerable Delay

David L. Donoho (Statistics Department, Stanford University, USA),
Ana Georgina Flesia (Statistics Department, Stanford University, USA),
Umesh Shankar (Department of Computer Science, University of California, Berkeley, USA),
Vern Paxson (International Computer Science Institute, USA),
Jason Coit (Silicon Defense, USA),
Stuart Staniford (Silicon Defense, USA)

Abstract

Vern führt in dem Vortrag aus, dass bisherige Ansätze zur Erkennung von Stepping Stones interaktiver Sitzungen durch Anwendung bestimmter Taktiken von Angreifern umgangen werden können. Er stellt systematisch die Möglichkeiten dar, die ein Angreifer diesbzgl. besitzt. Angreifer können Datenströme auf einem oder mehreren Stepping Stones mit bedeutungslosen Daten auffüllen, wodurch erreicht werden kann, dass Reihenfolge- und Volumenbeziehungen zwischen eingehender und ausgehender Verbindung verborgen bleiben und damit eine Korrelation erschwert wird, obwohl der semantische Inhalt beider Verbindungen identisch ist. Die Autoren folgern, dass die Auswirkungen von derartigen Datenstromtransformationen zur Umgehung der Erkennung berücksichtigt werden müssen. Der Arbeit liegt die Annahme zugrunde, dass zwar einige Datenstromtransformationen möglich sind, um einer Erkennung zu entgehen, es im Kontext interaktiver Verbindungen aber auch Beschränkungen gibt, die eine effektive Datenstromtransformation bzw. Erkennungsumgehung verhindern. Zwei dieser Beschränkungen werden näher betrachtet. Einerseits handelt es sich dabei um Wartezeitbeschränkungen, die dadurch zustande kommen, dass ein Nutzer einer interaktiven Verbindung nur eine bestimmte maximale Verzögerung akzeptiert. Andererseits existieren repräsentative Verkehrsmuster, wie das menschliche Tippverhalten, das zu bestimmten statistischen Regelmäßigkeiten in den Paketabständen einer interaktiven Verbindung führt. Interaktive Verbindungen die von diesem Muster abweichen ziehen Aufmerksamkeit auf sich. Weitere im Papier beschriebene Untersuchungen zeigen, dass zumindest für entsprechend lange interaktive Verbindungen die Umgehung der Stepping-Stone-Erkennung bspw. durch Datenstromtransformationen prinzipiell erkannt werden kann.


Session 2: Anomaly Detection - Chair: Ludovic Mé (Supélec, France)


Detecting Malicious Software by Monitoring Anomalous Windows Registry Accesses

Frank Apap, Andrew Honig, Shlomo Hershkop, Eleazar Eskin, Sal Stolfo (Columbia University, USA)

Abstract

Andrew stellte das Papier vor, in dem ein Host-basiertes Intrusion Detection System für Windows vorgestellt wird, das Zugriffe auf die Windows Registry hinsichtlich anomaler Aktivitäten analysiert. Dazu wird zunächst ein Modell "normaler" Registry-Zugriffe erstellt, dass während der Laufzeit zur Erkennung von Anomalien verwendet wird. Eine genaue Beschreibung der Algorithmen findet sich im Papier. Es wurden eine Reihe von Experimenten durchgeführt, bei denen relative gute Erkennungsraten bei wenigen Fehlalarmen erzielt wurden. Informationen zum Projekt sowie die Folien zur Präsentation gibt es unter http://www.cs.columbia.edu/ids/rad/.

ELISHA: A Visual-Based Anomaly Detection System

Soon-Tee Teoh, Kwan-Liu Ma, S. Felix Wu, Xi-Liang Zhao, Dan Massey, Allison Mankin, Lixia Zhang, Lan Wa, Dan Pei, Randy Bush (UC Davis, USA)

Felix stellte in dem Vortrag laufende Arbeiten zur "Visuellen Anomalieerkennung" vor. Grundidee des Ansatzes ist die Nutzung der kognitiven Mustererkennungsfähigkeiten von Menschen. Am Beispiel des BGP-Protokolls erläuterte er die Visualisierung entsprechender Netzwerkdaten und wie sich Anomalien in der Darstellung äußern. Die Präsentation und den Quellcode der gezeigten Demonstration gibt es unter http://www.cs.ucdavis.edu/~wu/Elisha/.

Undermining an Anomaly-Based Intrusion Detection System Using Common Exploits

Kymie M.C. Tan, Kevin S. Killourhy, Roy A. Maxion (Dependable Systems Lab, Carnegie-Mellon University, USA)

Abstract

Roy stellte in seinem Vortrag dar, wie Angreifer der Erkennung durch ein Anomalieerkennungssystem entgehen können. Er präsentierte eine Methode zum Unterlaufen derartiger Systeme, die aus folgenden drei Elementen besteht:

  1. Die "Erkennungsabdeckung" (detection coverage) des Anomalieerkennungssystems, insb. der "tote Winkel";
  2. Wo und wie manifestieren sich Sicherheitsverletzungen in den Sensordaten;
  3. Was kann ein Angreifer tun, um die Manifestierung aus dem sichtbaren Bereich in den toten Winkel des Systems zu verlagern;

Die erfolgreiche Anwendung der Methode zur "Unterwanderung" des Anomalieerkennungssystems Stide wurde anhand von zwei Beispiel-Attacken beschrieben. Es wurde dargestellt, wie die verwendeten Exploits schrittweise modifiziert wurden, bis die entsprechenden Manifestierungen außerhalb des Erkennungsbereichs von Stide lagen. Eine Diskussion der Auswirkungen der dargestellten Ergebnisse auf die Entwicklung und Evaluation von Anomalieerkennungssystemen findet sich im Papier.


Session 3: Correlation - Chair: Marc Dacier (Eurécom, France)


Analyzing Intensive Intrusion Alerts Via Correlation

Peng Ning, Yun Cui, Douglas S. Reeves (North Carolina State University, Department of Computer Science, USA)

Abstract

Klassische IDS konzentrieren sich auf die Erkennung von "low-level" Attacken und erzeugen unabhängig voneinander entsprechende Alarmmeldungen, obwohl mglw. Zusammenhänge zwischen den Attacken bestehen. Insbesondere in Situationen in denen viele Sicherheitsverletzungen zu beobachten sind, führt dies dazu, dass die Menge der generierten Alarmmeldungen nicht mehr handhabbar wird. Zur Lösung dieses Problems wurden verschiedene Ansätze zur Korrelation von Alarmen entwickelt. Der von den Autoren dieses Beitrags entwickelte Ansatz basiert auf "Vorbedingungen von Sicherheitsverletzungen". Douglas stellte in seinem Vortrag die Ergebnisse einer Analyse der Effektivität ihres Korrelationsansatzes vor. Er beschreibt drei Werkzeuge die zur Unterstützung der Analyse großer Mengen korrelierter Alarme verwendet werden können. Dies sind

  • justierbare Graphenreduktion,
  • fokussierte Analyse und
  • Graphendekomposition.

Des weiteren wurden in dem Vortrag die Ergebnisse einer Fallstudie vorgestellt, bei der der aufgezeichnete Netzwerkverkehr von der "DEF CON 8 Capture the Flag"-Veranstaltung analysiert wurde, um die Effektivität der entwickelten Methode und der vorgestellten Werkzeuge aufzuzeigen.

A Mission-Impact-Based Approach to INFOSEC Alarm Correlation

Phillip A. Porras, Martin W. Fong, Alfonso Valdes (SRI International, USA)

Abstract

Al stellte in seinem Vortrag den Prototypen EMERALD M-Correlator zur Alarmpriorisierung und -aggregation vor. Das realisierte Verfahren führt eine Mission-Impact-Analyse durch. Der Systemnutzer erstellt zunächst eine Missionsspezifkiation, die beschreibt, welche Komponenten und Dienste besonders kritisch sind und welche Klassen von Einbruchsvorfällen für ihn am meisten Bedeutung besitzen (Interessensprofil). Der Korrelator führt verschiedene Schritte durch. Zunächst wird der Relevanzwert eines Alarms ermittelt. Dazu wird die aktuelle Konfiguration der Zielmaschine (die der Alarm betrifft) mit den über diesen Alarm bekannten Abhängigkeiten, die in einer "Incident handling" Faktenbasis vorliegen, verglichen. Im Anschluss wird die Priorität eines Alarms berechnet, die anzeigt zu welchem Grad der Alarm kritische Komponenten bzw. Dienste betrifft und welches Interesse der Systemnutzer an Alarmen dieses Typs angemeldet hat. Darauf folgt eine Bewertung der Alarme mit einem "Incident Rank", der die Priorität des Alarms und die Erfolgswahrscheinlichkeit der entsprechenden Attacke zusammenbringt. Abschließend versucht ein Cluster-Algorithmus in Beziehung stehende Alarme miteinander zu kombinieren. Im Ergebnis liegt ein gefilterter Strom von Alarmen vor, der es gestattet die Alarme zu identifizieren, die mit dem größten Risiko für die geschützte Umgebung verbunden sind.

M2D2: A Formal Data Model for IDS Alert Correlation

Benjamin Morin (France Telecom R&D, France),
Ludovic Mé (Supélec, France),
Hervé Debar (France Telecom R&D, France),
Mireille Ducassé (IRISA/INSA, France)

Abstract

Benjamin stellt in seinem Vortrag mit M2D2 ein formales Datenmodell zur Korrelation von Alarmen vor. Er motiviert die Arbeit mit der bisher zu großen Menge von Alarmen, dem Mangel an Diagnoseinformationen in den Alarmen und der Zahl unerkannter Attacken. Die Autoren schlagen vor, zur Überwindung dieser Probleme weitere verfügbare Informationen zur Korrelation heranzuziehen. Zumindest vier Arten von Informationen sollten berücksichtigt werden:

  • Informationen zu den Charakteristika der geschützten Systeme,
  • Informationen über Verwundbarkeiten,
  • Informationen über die verwendeten Sicherheitswerkzeuge und
  • Informationen über die beobachteten Ereignisse.

M2D2 ist ein formal definiertes Datenmodell, welches die genannten Informationsarten unterstützt. Im Papier werden drei Beispielmethoden zur Alarmaggregation dargestellt, die die Konzepte von M2D2 ausnutzen. Da die entsprechenden Informationen im Datenmodell enthalten sind, ist es hier möglich Beziehungen zwischen der Systemtopologie und den Verwundbarkeiten, zwischen der Topologie und den Sicherheitswerkzeugen sowie zwischen den Sicherheitswerkzeugen und Verwundbarkeiten zu verwenden. (Der Name M2D2 ergibt sich aus den Anfangsbuchstaben der Nachnamen der Autoren.)


Session 4: Legal Aspects / Intrusion Tolerance - Chair: Al Valdes (SRI, USA)


Development of a Legal Framework for Intrusion Detection

Steven R. Johnston (Communications Security Establishment, Canada)

Abstract

Steven stellte in seinem Vortrag die Ergebnisse von Untersuchungen vor, die Schlüsselbestimmungen aus Straf- und Anti-Terrorgesetzen (criminal and anti-terror legislation) und ihre Auswirkungen auf den Einsatz von Intrusion Detection betrachten. Er referenzierte die Rechtssprechung in Australien, Kanada, Groß Britannien sowie den USA und identifiziert verschiedene Probleme, die es zu lösen gilt, um eine rechtliches Rahmenwerk für Intrusion Detection zu schaffen.

Learning Unknown Attacks - A Start

James E. Just (Teknowledge corporation, USA),
Larry A. Clough (Teknowledge corporation, USA),
Melissa Danforth (University of California, Davis, USA),
Karl N. Levitt (University of California, Davis, USA),
Ryan Maglich (Teknowledge corporation, USA),
James C. Reynolds (Teknowledge corporation, USA),
Jeff Rowe (University of California, Davis, USA)

Abstract

Die in diesem Vortrag vorgestellten Arbeiten wurden im Rahmen des Projekts HASQIT (Hierarchical Adaptive Control of QOS for Intrusion Tolerance) durchgeführt, mit dem das Ziel verfolgt wird, auch in Gegenwart von laufenden Angriffen eine Dienstverfügbarkeit von 75% zu erreichen. Es wurde ein Ansatz zur Identifikation, zum Lernen und Blockieren unbekannter Attacken entwickelt, der einen „lernenden Generalisierungsalgorithmus“ verwendet. Das Verfahren beginnt mit der Beobachtung eines Fehlers (einer Abweichung vom spezifizierten Verhalten) in der überwachten Umgebung, die hier aus einem Cluster von Web-Servern besteht. In weiteren Schritten wird analysiert, welche Anfrage den Fehler verursacht hat und im Falle der Einstufung als Attacke wird eine verallgemeinerte Filterregel erzeugt, die künftige Anfragen dieses Musters blockiert. Die genaue Vorgehensweise des Verfahrens wird im Papier aufgezeigt. Dort sind auch Ergebnisse von durchgeführten Experimenten dargestellt.


Session 5: Panel on Cyberwar - Chair: Roy Maxion (Carnegie Mellon University, USA)


John McHugh (CMU/SEI CERT, USA),
Vern Paxson (ICSI/LBNL, USA),
Marcus J. Ranum (USA),
Sal Stolfo (Columbia University, USA)

John stellt zunächst seine Vorstellungen, wie ein Cyberwar aussehen kann vor. Für ihn ist nicht klar, wie effektiv eine reiner Cyberwar ist. Angriffe gegen die Infrastrukur ggf. in Kombination mit Cyber-Attacken sieht er als effektiver an. Die ausgenutzten Schwachstellen sind dabei weniger einfache Software-Fehler sondern eher struktureller Natur. Gegenwärtige IDS beurteilt er als weitestgehend irrelevant in diesem Kontext: Signaturbasierte Systeme werden nicht vorbereitet sein; Anomalien können zwar erkannt werden, ihre Bedeutung wird jedoch erst zu spät verstanden. Die derzeitige IDS-Forschung scheint ihm auf Skript-Kiddies ausgerichtet zu sein. John ist nicht der Meinung, dass IDS ein geeignetes Mittel zur Behebung der Probleme darstellen. Sie sind höchstens zeitweilig ein geeigneter Schutz. Aus dem Publikum kam die Frage, wenn Angriffe gegen die Infrastruktur so leicht sind, warum ist es dann bisher nicht zu Zwischenfällen gekommen? John antwortet darauf mit weiteren Fragen: Es gibt Staaten die Atomwaffen besitzen, warum wurden sie noch nicht benutzt? Saddam besitzt Giftgas, warum hat er es noch nicht benutzt.

Darauf erhielt Vern das Wort. Er stellte seine Vorstellungen eines Cyberwar vor in dem er zunächst mögliche Ziele eines Cyberwar darstellt. Im Anschluss stellte er die "Waffen", sowohl defensive als auch offensive, eines Cyberwar vor, bevor er die Schwierigkeiten, mit denen alle Beteiligten eines Cyberwar konfrontiert werden, thematisierte. Abschließend beantwortet er die Frage, ob man bereits für einen solchen Cyberwar bereit wäre, mit nein: Alarmkoordination ist nach wie vor ein schweres Problem; die automatische Angriffs-Erkennung und -Reaktion im großen Umfang (large-scale) ist noch nicht einmal ein Forschungsthema und die Schaffung robuster Kommunikationsinfrastrukturen bedarf großer Aufwendungen.

Marcus machte eine Reihe von Aussagen zu dem Terminus "War" im Thema der Diskussion. Für ihr ist ein Cyberwar längst nicht so beängstigend wie ein "echter Krieg". Man würde einen Cyberwar überleben und könne alles wieder aufbauen. Außerdem stellt er fest, dass sich keiner der Anwesenden mit "War-Detection" sondern mit Intrusion Detection beschäftigt. Schließlich gibt er zu bedenken, dass ein Cyberwar einen "echten Krieg" nach sich ziehen könnte, und dass dies keiner riskieren möchte. Für Marcus ist Cyberwar zum großen Teil eine Erfindung der Geheimdienste, um nach dem Ende des "Kalten Krieges" ihr Budget zu erhalten. Es stellte sich heraus, dass der Begriff "War" in diesem Zusammenhang relativ ungeeignet ist.

Sal war in der unangenehmen Situation nach Marcus das Wort zu erhalten. Auch er sprach über seine Vorstellungen eines Cyberwar. Er stellte dar, dass jedem Angriff eine Beobachtungsphase vorausgeht. Außerdem diskutierte er, was wohl passieren würde, wenn das Kreditkartensystem zusammenbricht, und gab zu bedenken, die Konsequenzen eines Cyberwar nicht zu unterschätzen. Außerdem plädiert er für einen Paradigmenwechsel von signaturbasierter Erkennung zu verhaltensbasierter Erkennung und von Angriffserkennung zu Angreifererkennung.


Session 6: Assessment of Intrusion Detection Systems - Chair: Richard Lippmann (MIT/Lincoln Lab, USA)


Evaluation of the Diagnostic Capabilities of Commercial Intrusion Detection Systems

Hervé Debar, Benjamin Morin (France Telecom R&D, France)

Abstract

Hervé stellte in seinem Vortrag eine entwickelte Test-Umgebung für signaturbasierte IDS vor, die einige Schwächen bisheriger Tests überwindet. Des weiteren diskutiert er die Ergebnisse von durchgeführten Vergleichstests, die mit 4 kommerziellen (netzbasierten) IDS (die Produktnamen werden nicht genannt) und Snort durchgeführt wurden. Unter anderem wurde dabei auch die Struktur bzw. der Informationsgehalt der von den Systemen generierten Alarme bewertet. Es wurden Tests mit bestimmen Signaturen durchgeführt und überprüft, in wieweit die Systeme auch bei kleinen Abweichungen von den Manifestierungen der Attacken Alarme erzeugen. Dabei wurden eine ganze Reihe von Nachteilen bzw. Unzulänglichkeiten festgestellt. Bspw. wurde der wohlbekannte Scanner Whisker nicht von allen Systemen erkannt. Vereinzelt waren Systemabstürze zu beobachten. Als eines der Hauptprobleme wurde das "Diagnose-Problem" identifiziert: dem Analysten/SSO werden im Alarm zu wenige bzw. ungeeignete Informationen zur Diagnose mitgeteilt.

A Stochastic Model for Intrusions

Robert P. Goldman (Honeywell, USA, -- inzwischen: -- Smart Information Flow Technologies (SIFT), LLC, USA)

Abstract

Robert motiviert in seinem Vortrag zunächst die Simulation von Angreifern bzw. Attacken. Im weiteren stellte er eine Architektur zur Attackensimulation und eine entwickelte Prototypimplementierung vor. Charakteristisch für das dargestellte Modell ist die Verwendung des Situation Calculus und zielgerichteter (goal-directed) Prozeduraufrufe zur Simulation intelligenter reaktiver Angreifer. Zur Implementierung des Prototypes wurde die Sprache Golog entsprechend erweitert. Ein Beispiel für eine simulierte Attacke wird im Papier dargestellt.

Attacks against Computer Network: Formal Grammar-Based Framework and Simulation Tool

Vladimir Gorodetski, Igor Kotenko (St.Petersburg Institute for Informatics and Automation of the Russian Academy of Sciences, Russia)

Abstract

Vladimir stellte in seinem Vortrag ein formales Modell und Rahmenwerk zur Modellierung von Attacken vor. Das Rahmenwerk basiert auf formalen Grammatiken und erlaubt die Simulation von Attacken. Des weiteren demonstrierte er einen Prototypen des entwickelten Simulationswerkzeugs.

Capacity Verification for High Speed Network Intrusion Detection Systems

Mike Hall, Kevin Wiley (Cisco Systems, USA)

Abstract

Kevin und Mike erörtern in Ihrem Vortrag, dass derzeit keine standardisierten Tests existieren, die den Nutzern netzwerkbasierter IDS eine Beurteilung der Kapazitätscharakteristiken dieser Systeme erlauben. Sie stellen eine Test-Methodik zur standardisierten Kapazitätsbewertung von netzwerkbasierten IDS vor. Dabei untersuchen sie zunächst die "Flaschenhälse" der Systeme und suchen dann nach Größen, anhand derer diese getestet werden können. Außerdem diskutierten sie die Auswahl der in den Tests zu verwenden Netzwerkdaten.


Session 7: Adaptive Intrusion Detection Systems - Chair: Hervé Debar (France Telecom R&D, France)


Performance Adaptation in Real-time Intrusion Detection

Wenke Lee, Joao B. D. Cabrera, Ashley Thomas, Niranjan Balwalli, Yi Zhang (Georgia Institute of Technology, USA)

Abstract

Wenke argumentiert in seinem Vortrag für die Erweiterung von IDS um Funktionen zur Leistungsadaption, um die optimale Leistung in der gegebenen Einsatzumgebung zu erreichen. Ein IDS soll in der Lage sein, das Kosten-Nutzen-Verhältnis, innerhalb der gegebenen Umgebung zu optimieren. Wenn ein IDS unter hoher Last steht und dadurch nicht alle Sicherheitsverletzungen erkennen kann, dann sollte es den besten Wert (z.B. den geringsten Schaden) bzgl. der Kosten-Nutzen-Analyse anstreben. Beispielsweise besitzt ein Buffer-Overflow-Exploit ein größeres Bedrohungspotential als ein Port-Scan. In diesem Fall ist es besser einen Port-Scan zu übersehen als einen Buffer-Overflow. Möglichkeiten und Verfahren zur Analyse der Performance eines IDS und zur dynamischen Rekonfiguration der Systeme wurden untersucht. Es wurden zwei Prototypen "Adaptive Bro" und "Adaptive Snort" entwickelt, mit denen verschiedene Experimente durchgeführt wurden. Die Ergebnisse dieser Tests werden im Papier diskutiert.

Requirements for Plan Recognition in Network Security Systems

Christopher W. Geib, Robert P. Goldman (Honeywell Labs, USA)

Christopher stellt in seinem Vortrag die Anwendung von Plan Recognition zur Modellierung der Ziele und Pläne von Angreifern dar. Er motiviert die Arbeiten mit der Notwendigkeit die Vorhaben eines Angreifers zu kennen, um effektive Gegenmaßnahmen einleiten zu können. Des weiteren diskutiert er Verfahren zu Berechnung der Wahrscheinlichkeiten von Zielverwerfungen (goal abandonment), dass heißt, dass ein Angreifer das angenommene Ziel nicht weiter verfolgt. Abschließend stellt er eine Reihe offener Probleme im Hinblick auf eine effektive Anwendung der Planerkennung innerhalb der Netzwerksicherheit dar.


Session 8: Intrusion Detection Analysis - Chair: John McHugh (CMU/SEI CERT, USA)


Accurate Buffer Overflow Detection via Abstract Payload Execution

Thomas Toth, Christopher Kruegel (Distributed Systems Group, Technical University Vienna, Austria)

Abstract

Bei Buffer Overflows werden Anwendungen Daten injiziert, die ausführbaren Code enthalten, welcher im weiteren von der Anwendung ausgeführt wird. Diese Daten bestehen dabei aus drei Teilen: dem Sledge, dem eingentlichen Code, der zur Ausführung gebracht werden soll und einer Sequenz, die die Adresse A enthält, an der sich Code befindet. Diese Daten werden so formatiert, dass die Rücksprungadresse eines Prozesses, die vor einem Funktionsaufruf auf dem Stack gesichert wurde, mit der Adresse A, überschrieben wird. Dadurch wird erreicht, dass nach Beendigung der Funktion, der Code an Adresse A ausgeführt wird. Eine Schwierigkeit für den Angreifer besteht darin, zu ermitteln an welcher Adresse sich der injiziert Code befinden wird. Um dieses Problem zu vereinfachen wird dem eigentlichen Code der sogenannte Sledge vorangestellt, der in der Regel aus einer relativ langen Folge von NOP-Anweisungen besteht. Nun muss nur noch eine beliebige Adresse innerhalb des Sledge ermittelt werden.

Der Sledge stellt ein charakteristisches Merkmal für Daten-Pakete, die einen Buffer-Overflow ausnutzen, dar und wird deshalb häufig als Kriterium zur Erkennung derartiger Angriffe verwendet. Allerdings kann ein Sledge auch "getarnt" werden, in dem er bspw. kodiert wird. Somit reicht eine einfache Suche nach Paketen, die eine Folge von NOP-Anweisungen enthalten nicht aus, um Buffer Overflows zu erkennen. Thomas stellte in seinem Vortrag einen alternativen Ansatz zur Erkennung von Buffer-Overflows vor. Hierbei wird eine Metrik für die Ausführbarkeit von Daten verwendet, die im Papier genauer beschrieben wird. Davon ausgehend wird die Länge ausführbarer Sequenzen innerhalb eines Datenpakets ermittelt. Enthält ein Paket relativ lange ausführbare Sequenzen, so ist dies ein deutliches Anzeichen für eine Buffer Overflow. Mit einer prototypischen Implementierung des Verfahrens wurden verschiedene Experimente durchgeführt, die im Papier beschrieben werden.

Introducing Reference Flow Control for Intrusion Detection at the OS Level

Jacob Zimmermann, Ludovic Me, Christophe Bidan (Supélec, France)

Abstract

Jacob stellt in seinem Vortrag einen Ansatz vor, der in den Bereich der Policy-based Intrusion Detection einzuordnen ist. Eine Policy, die beschreibt welche Operationen verboten sind, kann mglw. umgangen werden, indem eine Reihe von Operationen durchgeführt werden, die per se nicht verboten sind, die aber zu dem selben Ziel wie verbotene Operationen führen. (Die Autoren sprechen in diesem Zusammenhang von "Attacks by Delegation".) Beispielsweise beschreibt die Policy eines Unix-Systems, dass die Datei /etc/shadow nur von root gelesen werden darf. Trotzdem zeigt die Erfahrung, dass es durch Ausnutzung von Seiteneffekten (Buffer Overflows, Race-Conditions) auch anderen Benutzern möglich ist, auf diese Datei zuzugreifen. Aus diesem Grund wird bei diesem Ansatz in einer Policy beschrieben, welche Ziele nicht erreicht werden sollen, unabhängig davon auf welchen Wegen sie erreicht werden können. Gleichzeitig versucht der Ansatz Einbruchssymptome, anstatt Einbrüchen zu erkennen. Zur Erkennung der Symptome werden entsprechend der Policy Operationsbereiche (operation domains) definiert, die Mengen von Operationen darstellen, die ausgeführt und kombiniert werden können, ohne dass die Policy verletzt wird. Somit ist jede legale Operation in mindestens einem Operationsbereich erlaubt. Beispielsweise ist das Lesen einer Benutzerdatei document.txt im Bereich der Benutzerrechte erlaubt und das Schreiben auf die Datei /etc/passwd ist nur in einem Bereich erlaubt, der das Ändern der Passwörter gestattet. In keinem der beiden genannten Bereiche ist die Operation "copy document.txt /etc/shadow" erlaubt. Das Auführen der Operation umfasst mehr als einen Bereich und ist deshalb illegal. Zur Umsetzung dieses Ansatzes wird ein sogenanntes Reference Flow Control Model verwendet, das im Papier beschrieben wird. Der Ansatz wurde prototypisch implementiert und die Ergebnisse von durchgeführten Experimenten werden im Papier dargestellt.

The Effect of Identifying Vulnerabilities and Patching Software on the Utility of Network Intrusion Detection

Richard Lippmann, Seth Webster, Douglas Stetson (MIT Lincoln Laboratory, USA)

Abstract

IDS werden nicht als einziger Sicherheitsmechanismus benutzt. So werden fast immer auch defensive Mechanismen, wie das Aktualisieren von Software, Firewalls und Vulnerability Scanner benutzt. Ziel der von Richard vorgestellten Arbeiten war es den Einfluss dieser Mechanismen auf die Nützlichkeit von Netzwerk-IDS (NIDS) zu untersuchen. Die Arbeit konzentriert sich auf signatur-basierte NIDS, die für alle bekannten Attacken separate Signaturen verwenden. Der Schwerpunkt liegt auf Systemen die erfolgreiche Remote-to-local-Attacken erkennen. Es wird diskutiert, warum dies die wichtigste Klasse von Attacken ist, die NIDS erkennen können. Es sei darauf hingewiesen, dass die gezogenen Schlussfolgerungen nicht auf andere Systeme angewendet werden können.

Die Fähigkeit erfolgreiche Remote-to-Local-Attacken zu erkennen hängt von Details darüber ab, wann Verwundbarkeiten entdeckt und veröffentlicht werden, wann Patches verfügbar sind und installiert werden und wann Signaturen entwickelt werden und zum Einsatz kommen. Im Zeitraum zwischen der Entwicklung eines Exploits und der Installation des entsprechenden Patches sind Systeme verwundbar durch die jeweiligen Attacken. Dieser Zeitraum wird als Verwundbarkeitsfenster bezeichnet. Der Zeitraum zwischen der Installation der Signatur und der Installation des Patches wird als Sichtbarkeitsfenster bezeichnet, das nicht existiert, wenn Patches vor der Signatur installiert werden. In der Arbeit wurden diese zeitlichen Abläufe für acht wichtige Verwundbarkeiten analysiert. Meistens sind Patches kurz nach der Veröffentlichung einer Verwundbarkeit verfügbar, während Signaturen und Tests für Vulnerability Scanner erst danach entwickelt werden.

Richard berichtet von Erfahrungen nach denen NIDS 100 bis 1000 Remote-to-local-Attacken in einem Klasse B-Netz pro Tag melden. Die meisten davon sind erfolglose und nur wenige erfolgreiche Attacken. Unter Verwendung der von Vulnerability-Scannern erhobenen Informationen, können hier die Alarme, die sich auf in der Umgebung existierende Verwundbarkeiten beziehen, priorisiert werden. Das erleichtert das Erkennen der erfolgreichen Angriffe. Es wird die Frage beantwortet, in welchen Umgebungen NIDS erfolgreiche Angriffe erkennen können: In kleinen Netzen, wie DMZ-Netzen, können NIDS kaum erfolgreiche Attacken erkennen, da die Verwundbarkeiten gepatcht werden können, bevor Signaturen verfügbar sind. In großen Netzen, in denen regelmäßiges Patchen zu teuer oder aus anderen Gründen nicht möglich ist, können NIDS erfolgreiche Attacken erkennen.


RAID 2003


Die RAID 2003 findet in Santa Barbara, CA, USA statt.