Fachgruppe SIDAR der Gesellschaft für Informatik e.V.
 
Fachgruppe SIDAR
Zielgruppe
Mitglied werden
Mailingliste
Aktuelles
 
Themen
Verwundbarkeitsanalyse
Intrusion Detection
Malware
Incident Management
Forensik
 
Veranstaltungen
SPRING
CIPHER
DIMVA 2007
IMF 2007
 
Archiv
 
Organisatorisches
Fachgruppen-Leitung
Fachbereich Sicherheit
Gesellschaft für Informatik e.V.
Impressum
 
Verantwortlich für diese Webseite ist die GI-Fachgruppe SIDAR.
Wir sind nicht verantwortlich für die Inhalte externer Internetseiten.
Copyright © 2004 Fachgruppe SIDAR der GI e.V. - Alle Rechte vorbehalten.
Webmaster: <webmaster-/at/-gi-fg-sidar.de>
Tagungsbericht  

Symposium on Recent Advances in Intrusion Detection (RAID) 2003

Zusammenfassung des Programms
Michael Meier
Brandenburgische Technische Universität Cottbus
mm{at}informatik.tu-cottbus.de
www-rnks.informatik.tu-cottbus.de/~mm

Das sechste internationale Symposium on Recent Advances in Intrusion Detection (RAID) fand vom 8. bis zum 10. September 2003 in Pittsburgh, PA statt. Es wurde gemeinsam vom Center for Computer and Communications Security at Carnegie Mellon University und dem CERT® Coordination Center organisiert. General Chair war John McHugh. Program Chairs waren Giovanni Vigna (UC Santa Barbara, USA) und Erland Jonsson (Chalmers University of Technology, Schweden). Die Veranstaltung besuchten ca. 120 Teilnehmer (eigene Schätzung) (siehe Tabelle 1 und 2).

Tabelle 1: Teilnehmer nach Region

Prozent der Teilnehmer

Region

50%

Nordamerika

25%

Europa

20%

Asien

5%

Südamerika

Auf der Tagung wurden 13 Full Papers (von 44 eingereichten) präsentiert, die im Tagungsband veröffentlicht wurden. Des weiteren gab es zwei eingeladene Vorträge und eine Podiumsdiskussion zum Thema "Detecting Worms and Malicious Code". Der Tagungsband ist beim Springer-Verlag in der Reihe Lecture Notes in Computer Science (LNCS 2820) erschienen. Im folgenden eine Übersicht des Programms mit Anmerkungen zu den einzelnen Vorträgen.


Invited Talk: Turning off the Alarm System?, Richard Clark (Former Special Advisor to the President for Cyber Security), USA


Richard gab in seinem Vortrag einen Rückblick auf den vergangenen Sommer, den er als "Summer of Viruses and Worms" bezeichnet. Für Ihn gab es in dieser Zeit interessantes zu beobachten. Zum einen wurde deutlich, was er gesagt hatte, man ihm aber nicht glaubte: Infrastrukturen sind verwundbar. Zum anderen konnte er eine Bank zeitweilig zusammenbrechen sehen. Er erörtert, dass im Zusammenhang mit dem Stromausfall in verschiedenen Nordamerikanischen Städten zwischenzeitlich Computerfehler als Ursache diskutiert wurden.

In seinem Vortrag gab Richard verschiedene Erlebnisse und Anekdoten wieder:

  • eine Gruppe wurde beauftragt innerhalb einer Woche die Rechner des Pentagon zu penetrieren (Projekt "eligible receiver") - bereits nach der Hälfte der Zeit, hatten sie alles erreicht.
  • bei einem Truppenbesuch im Golf-Krieg I konnte er auf einer Konsole eine Vielzahl von Alarmmeldungen sehen, auf die niemand reagierte. Auf Nachfrage erklärte man ihm, dass dies Meldungen eines Frühwarnsystems zur Erkennung chemischer Kampfstoffe sein, die irgendwann wieder ausgehen würden.
  • er betonte die Gefahr durch Insider, die u.a. in einem Survey des Secret Service aufgezeigt wurden, und das eine Vielzahl amerikanischer Unternehmen deshalb Verluste erleiden, da ihre IDS hier nicht funktionieren.

Richard stellte weiterhin dar, dass 127 Firmen existieren, die sagen sie verkaufen IDS, und mehr und mehr werden so genannte Intrusion Prevention Systeme angeboten, was dazu führt, dass CIOs den Überblick verlieren. Was sie eigentlich wollen ist eine "entire tweakable intrusion suite", die jedoch noch keiner gebaut hat. Er stellt weiter dar, dass viele Anwender frustriert sind, da trotz großer Investitionen in Sicherheitstechnologie immer noch Leute in ihre Netze einbrechen: "why spend more money if nothing works?". Richard glaubt die Zukunft liegt in selbstheilenden Netzwerken, die auch in Gegenwart von Sicherheitsverletzungen funktionieren.

Richard war diesen Sommer auch im Kino und er hebt zwei Filmpassagen hervor, die für ihn in diesem Kontext interessant scheinen:

  • In Terminator 3 erhält der General einen Anruf aus dem Weißen Haus mit der Aufforderung, das ausufernde Viren-Problem durch Einsatz eines neuen unerprobten Schutzsystems zu lösen. Der General folgt der Aufforderung und das Schutzsystem erweist sich später als die größere Bedrohung.
  • In "Matrix reloaded" findet ein Dialog statt, in dem die Abhängigkeit der Maschinen vom Menschen und die Abhängigkeit der Menschen von den Maschinen thematisiert wird und mit dem Schluss endet, dass Menschen Maschinen brauchen, es aber erst merken, wenn die Maschinen ausfallen.

Im Anschluss an den Vortrag wurden verschiedene Fragen des Auditoriums diskutiert:

  • Wäre die Zerschlagung der Firma Microsoft eine Sicherheitsmassnahme? Richard denkt nicht, dass eine Zerschlagung hilft. Er zieht eine Analogie zur Boiler-Industrie, bei denen von Zeit zu Zeit einige Geräte explodieren. Er sieht die Lösung hier in der Versicherungsindustrie, die, um nicht bankrott zu gehen, nur Geräte mit gewissen Sicherheitsstandards versichert. Eine Lösung für Informationstechnik sieht er ebenfalls in Qualitätssicherungsstandards und Tests.
  • Warum kauft die Regierung nicht nur Software, für die Haftung angeboten wird? Richard antwortet, dass Hersteller ihre Software unter diesen Bedingungen nicht verkaufen würde, sie würden sich nicht darauf einlassen.
  • Das Problem des Patch-Managements wird genannt: es ist unklar, welche Auswirkungen ein Betriebssystem-Patch auf den installierten Datenbank-Server hat. Eine Lösung hierfür wird nur in einem gemeinsamen Testbed gesehen.
  • Des Weiteren wird das Fehlen eines geeigneten IDS-Benchmarks erwähnt, der aussagt, wie gut ein IDS unter welchen Bedingungen funktioniert. Hierin wird die Ursache dafür gesehen, dass viele Kaufentscheidungen, durch die Qualität der Verkäufer und nicht der Produkte bestimmt wird.

Session 1: Network Infrastructure - Chair: Vern Paxson (ICSI, Berkeley, USA)


Mitigating Distributed Denial of Service Attacks Using a Proportional-Integral-Derivative Controller

Marcus Tylutki, Karl Levitt (University of California at Davis, USA)

Abstract

Marcus stellte in dem Vortrag ein verteiltes, automatisiertes Response-Modell für Distributed Denial of Service Attacken vor, das auf der Verwaltung von Netzwerk-Flows basiert. Die Handhabung des Netzwerk-Flow Managements wird durch die Verwendung eines Proportional-Integral-Derivative (PID) Controllers unterstützt. Das PID Steuerungsgesetz wurde bereits seit 1934 in chemischen und elektrischen Anwendungen verwendet und hat sich bei der Stabilisierung relativ unvorhersehbarer Flüsse als sehr nützliche erwiesen.

Das Modell wurde so entworfen, dass eingehender Verkehr einen bestimmten Schwellwert nicht übersteigt, gleichzeitig aber so viel wie möglich legitimer eingehender Verkehr gestattet wird. Der beschriebene Ansatz ist derzeit beschränkt auf bestimmte Typen von DDOS Attacken und geht von einer Reihe weiterer Annahmen aus, die im Papier diskutiert werden. Die Ergebnisse durchgeführter Experimente finden sich ebenfalls im Papier.

Topology-based Detection of Anomalous BGP Messages

Christopher Kruegel, Darren Mutz, William Robertson, Frederik Valeur (University of California at Santa Barbara, USA)

Abstract

Es ist bekannt, dass das Border Gateway Protocol (BGP) einige inhärente Schwachstellen besitzt, die u.a. dazu ausgenutzt werden können Routinginformationen zu manipulieren. Frederik stellte in seinem Vortrag ein System vor, das in der Lage ist, gefälschte Routenaktualisierungsnachrichten zu erkennen. Der Einsatz des Systems erfordert dabei keine Protokollerweiterungen und verwendet existierende Überwachungsinfrastrukturen.

Der Erkennungsansatz nutzt geographische Informationen über Router, um Inkonsistenzen zwischen Routenaktualisierungsnachrichten und der Netzwerktopologie zu erkennen. Dazu wird durch passives Monitoring ein Connectivity Graph der Autonomen Systeme (AS) im Netz erstellt und die geographische Distanz zwischen AS berechnet. Die Grundidee ist, Routenaktualisierungsnachrichten, die aufeinander folgende AS enthalten, deren Distanz größer als ein vorgegebener Schwellwert ist, als invalide zu klassifizieren. In den durchgeführten Experimenten, die im Papier näher beschriebenen werden, wurde als Schwellwert 300 km verwendet. Gleichzeitig werden die Rollen von Routern (Core oder Periphery Router) zur Erkennung herangezogen: mehrere Core Router dürfen in einem Pfad nur aufeinander folgen. Ein Pfad der Form Core - Periphery - Core wird als invalide klassifiziert. Verschiedene Beschränkungen des Ansatzes werden ebenfalls im Papier dargestellt.


Invited Talk: Defense in Depth, An Alternative to Intrusion Detection, Richard Stiennon (Vice President of Research, Network Security, Gartner Group)


Die Einladung von Richard Stiennon dürfte wohl dem Umstand zu verdanken sein, dass Gartner diesen Sommer einen von Richard verfassten Bericht mit dem Titel "Intrusion Detection is Dead - Long Live Intrusion Prevention" veröffentlichte.

Richard stellte in seinem Vortrag seine Vision von "Defense in Depth" vor. Punkte seines Vortrags waren z.B.:

  • "Gateways and firewalls are finally plugging the holes ... we are winning the arms race with hackers ... the IDS is at the end of live."
  • Er empfiehlt große Investitionen in IDS und Event Management zu verschieben, und stattdessen Application Defense und Network Intrusion Prevention System Projekte zu favorisieren.

Seine Vision umfasst Firewalls, Vulnerability Assessment und Management, Network Intrusion Prevention, Host Intrusion Prevention, Antivirus und Security Management. Eine ganze Reihe verschiedener Anbieter wurden genannt.

Im Anschluss an den Vortrag wurde eine ganze Reihe Fragen erörtert. Unter anderem wurde Richard gefragt, wie er Produkte und Produktqualität evaluiert. Er antwortete, dass dazu Nutzer befragt werden, er selbst hat kein Produkt-Test-Labor. Die Frage nach der Magie mit der moderne Firewall-Systeme die Intrusion Detection Funktion durchführen sollen, die IDS seiner Einschätzung nach nicht leisten können, wurde nicht befriedigend beantwortet. Er wurde außerdem gefragt, ob der Begriff "Intrusion Prevention" nicht irreführend sei, schließlich setzt eine derartige Intrusion Prevention eine Erkennung voraus. Er stimmte dem zu, jedoch nicht ohne zu erwähnen, das dieses Terminologieproblem von den Systemherstellern herrühre.

Die Stimmung der meisten Zuhörer und ihre Bewertung des Vortrags und der gemachten Aussagen, spiegeln sich in einem aufgeschnappten Ausspruch eines Teilnehmers wieder. Sinngemäß: Gartner schlägt weiter Wellen, um ihre teuren Reports an verängstigte CIOs zu verkaufen, die durch Kunden und Gesetzgebung unter Druck gesetzt werden.


Session 2: Anomaly Detection I - Chair: Wenke Lee (Georgia Institute of Technology , USA )


Detecting Anomalous Network Traffic with Self-Organizing Maps

Manikantan Ramadas (Ohio University, USA), Shawn Ostermann (Ohio University, USA), Brett Tjaden (James Madison University, USA )

Abstract

Manikantan stellte in seinem Vortrag das netzbasierte Intrusion Detection System INBOUNDS (Integrated Network Based Ohio University Network Detective Service) vor. Das Analysemodul des Systems ANDSOM (Anomalous Network-Traffic Detection with Self-Organizing Maps) ist in der Lage anomalen Netzwerkverkehr unter Verwendung von Self-organizing Maps (SOM) zu erkennen. Der Unterschied zu bisherigen Ansätzen besteht hier darin, dass zur Charakterisierung von Netzwerkverbindungen andere charakteristische Daten zugrunde gelegt werden. Hier wird für jede Verbindung ein Vektor aus sechs zu berechnenden Werten verwendet. Im Vortrag wurden des Weiteren die Ergebnisse von Experimenten vorgestellt, in denen mit SOM-Modellen für DNS und HTTP False-Positiv-Raten von unter 1,5% erreicht werden konnten.

An Approach for Detecting Self-Propagating Email Using Anomaly Detection

Ajay Gupta, R. Sekar (SUNY at Stony Brook, USA )

Abstract

Ajay stellte in seinem Vortrag einen auf statistischer Anomalieerkennung basierenden Ansatz zur Erkennung selbstpropagierender EMail-Viren vor. Dem Ansatz liegt die Annahme zu Grunde, dass ein Hauptziel von EMail-Virus-Attacken eine mögliche Überflutung von Mail-Servern und -Clients mit großen Mengen von Mail-Verkehr ist. Der Ansatz erkennt das Ansteigen des Verkehrsvolumens gegenüber den in der Trainingsphase gemessenen Werten. Im Vortrag wurden des Weiteren die Ergebnisse von mittels Simulation durchgeführten Experimenten dargestellt.


Session 3: Correlation - Chair: Phil Porras (SRI, USA)


Statistical Causality Analysis of INFOSEC Alert Data

Xinzhou Qin, Wenke Lee (Georgia Institute of Technology, USA)

Abstract

In dem Vortrag widmet sich Xinzhou dem Problem der Korrelation von Alarmen. Der vorgestellte Ansatz nutzt Clustering Techniken um Low-Level Alarme zu aggregierten High-Level Alarmen zu verarbeiten. Des Weiteren wird eine Kausalitätsanalyse durchgeführt, um neue Beziehungen zwischen Alarmen zu erkennen. Dabei werden statistische Tests eingesetzt, die im Gegensatz zu anderen Ansätzen ohne a priori Wissen zum Pattern Matching auskommen.

Die Kausalitätsanalyse basiert auf Time Series Analysis, deren Ziel es ist, die Natur eines Phänomens, das durch Beobachtungen repräsentiert wird, zu identifizieren. Der vorgestellte Ansatz nutzt zu diesem Zweck insbesondere den Granger Causality Test. Dazu wird für jedes Paar von Alarmen der Granger Causality Index berechnet, der ausdrückt mit welcher Sicherheit ein Ereignis A ein Ereignis B verursachte. Die Ergebnisse verschiedener durchgeführter Experimente sind im Papier dargestellt.

Correlation of Intrusion Symptoms: an Application of Chronicles

Bejamin Morin, Herve Debar (France Telekom R&D, France )

Abstract

Benjamin stellte in seinem Vortrag einen Ansatz zur Korrelation von Alarmen vor. Der präsentierte Ansatz basiert auf dem Chronicles-Formalismus. Chronicles bieten eine deklarative Sprache, die temporaler Logik ähnelt, und einen Erkennungsmechanismus. Sie wurden bereits in verschiedenen Gebieten zur Überwachung dynamischer Systeme verwendet. Nach einer kurzen Vorstellung von Chronicles stellte Benjamin dar, wie sie zur Verbesserung der Aussagekraft von Alarmen und zur Verringerung der Alarmanzahl verwendet werden können. Ersteres wurde durch Beispiele unterlegt in denen einerseits Fehlalarme unterdrückt und andererseits Alarme zusammengefasst werden können. Außerdem zeigte Benjamin auf, wie sich Chronicles in das im Vorjahr vorgestellte Alarmkorellationsdatenmodell M2D2 integrieren.

Modelling Computer Attacks: An Ontology for Intrusion Detection

Jeffrey Undercoffer, Anupam Joshi, John Pinkston (University of Maryland, USA)

Abstract

Jeffrey argumentierte in seinem Vortrag für eine Migration weg von Taxonomien und dazu verwendeten Sprachen hin zu Ontologien und Ontologie-Repräsentationssprachen. Des weiteren stellte er eine (initiale) Ontologie für Intrusion Detection vor. Die Ontologie wurde in DAML+OIL (DARPA Agent Markup Language + Ontology Inference Layer) implementiert. Die Umsetzung der Logik der Ontologie erfolgte mittels DAMLJessKB, einer Erweiterung einer Experten-System-Shell. Im Papier finden sich Fallbeispiele, die die Nützlichkeit der Ontologie illustrieren.

Using Specification-Based Intrusion Detection for Automated Response

Ivan Balepin (University of California at Davic, USA),
Sergei Maltsev (Bauman Moscow State Technical University, Russia),
Jeff Rowe (University of California at Davic, USA),
Karl Levitt (University of California at Davic, USA)

Abstract

Ivan diskutierte in seinem Vortrag zunächst die Problematik automatischer Gegenmaßnahmen und stellt verschiedene mögliche Maßnahmen vor. Des weiteren stellt er einen systematischen zur Auswahl von Gegenmaßnahmen vor, dem ein Kostenmodell für Gegenmaßnahmen und eine Schadenseinschätzung zugrunde liegen. Außerdem skizzierte er den implementierten Prototypen ARB (Automated Response Broker).


Panel - Detecting Worms and Malicious Code - Chair: Giovanni Vigna (University of California at Santa Barbara)


Karl Levitt (University of California at Davis, USA)
Vern Paxon (ICSI, Berkeley, USA)
Brian Hernacki (Symantec Research Labs, USA)
Arno Wargner (ETH Zürich, Schweiz)

Zunächst stellte Brian vier Ansätze zum Umgang mit Würmern vor:

  • Global Trend Analysis - Daten von so vielen Sensoren wie möglich, in denen nach Trends gesucht wird
  • Automated Capture and Forensics - unter Verwendung von Honeypots
  • Network Detection and Blocking - sowohl mit Signaturanalyse- als auch Anomalieerkennungsverfahren
  • Host Detection and Blocking - mittels Personal Firewalls und Audit Trail Inspection.

Karl sprach über Worm Mitigation und stellte eine Worm Defense Architecture vor, die auf Peer-to-Peer Strategien in einer hierarchischen Architektur basiert.

Im Anschluss gab Vern ein paar Gedanken zur Wurm-Thematik wieder:

  • zufällig scannende Würmer sind heutzutage sehr effektiv
  • Firewalls funktionieren hier nicht aufgrund von Dial-In-Verbindungen und Notebooks
  • mögliche kurzfristige Reaktionen: Anwendung von Scan Suppressors
  • Wie wird sich die Wurmabwehr entwickeln?: automatisierte Wide-Area Koordination
Darüber hinaus fragte Vern warum das Wurm-Problem nicht bereits viel größer ist und nannte verschiedene ernstzunehmende Wurmarten. Außerdem fragt er sich, ob Botnets u.a. deshalb gebaut werden, weil Spammer dafür bezahlen und verwies auf ein Papier, dass auf der Worm 2003 Tagung präsentiert wurde: "Access for Sale: A New Class of Worm" von S. Schecter and M. Smith.

Schliesslich sprach Arno über das Projekt DDoSVax in dem NetFlow Records zur Erkennung und Analyse von Maliciuos Code in Netzwerken verwendet werden.

Session 4: IDS Sensors - Chair: Calvin Ko


Characterizing the Performance of Network Intrusion Detection Sensors

Lambert Schaelicke, Thomas Slabach, Branden Moore, Curt Freeland (University of Notre Dame, USA)

Abstract

Lambert stellte in seinem Vortrag die Ergebnisse von Performance-Tests mit dem IDS SNORT vor. Der Arbeit liegt der Gedanke zu Grunde, dass die Verarbeitungskosten eines IDS nicht zu hoch sein dürfen, da es in diesem Fall zum Verwerfen von Paketen kommt, was bedeutet, dass die Pakete nicht auf Sicherheitsverletzungen untersucht werden.

Insbesondere wurde hier der Einfluss des Betriebssystems und der Hardware auf die Performance von SNORT untersucht. Verschiedene Systeme u.a. FreeBSD oder Linux-Varianten wurden auf Systemen wie PentiumPro, Pentium III, Celeron und Pentium 4 getestet. Details zu den Konfigurationen finden sich im Papier.

Die Ergebnisse zeigen, dass auch in Netzen mit moderaten Übertragungsgeschwindigkeiten viele Systeme als SNORT-Plattform ungeeignet sind. Die Autoren schlussfolgern weiter, dass die SNORT-Leistung nicht nur von der Leistungsfähigkeit der CPU abhängt sondern in stärkerem Maße vom verwendeten Speichersystem. Aktuelle Trends bei Prozessormikroarchitekturen in Richtung Deep Pipelining zeigte negative Einflüsse auf die SNORT-Leistung und die Verwendung von Mehrprozessorarchitekturen bringt typischerweise keine signifikanten Leistungsverbesserungen. Die Autoren sehen in Ihrer Arbeit Richtlinien für IDS-Entwickler und Anwender für die Auswahl geeigneter Plattformen.

In der anschließenden Diskussion wurden die Ergebnisse und deren Verwertbarkeit stark angezweifelt. Es gibt zu viele weitere Einflussfaktoren, die bei der Untersuchung nicht berücksichtigt wurden z.B. verschiedene Netzwerkkarten und Gerätetreiber oder gewählten Optimierungsoptionen bei der Übersetzung von SNORT. Was man aus den Ergebnissen aber wohl ableiten kann ist, dass die Anwender, die SNORT auf einer Standard-Maschine einsetzen, einem falschen Sicherheitsgefühl unterliegen, da bei Leistungsengpässen eine Reihe von Paketen vom System verworfen werden.

Using Decision Trees to Improve Signature-Based Intrusion Detection

Christopher Kruegel (University of California at Santa Barbara, USA)
Thomas Toth (Technische Universität Wien, Österreich)

Abstract

Chris stellte in dem Vortrag ein optimiertes Analyseverfahren für IDS vor. Das eigentliche Matching jedes Eingabeereignisses (Netzwerkpakets) gegen jede Signatur stellt den ressourcenintensivsten Teil der Analyse dar. In vielen Systemen werden alle Ereignisse sequentiell gegen alle Signaturen verglichen, was alles andere als optimal ist.

Der vorgestellte Ansatz verwendet Clustering-Techniken um den Matching-Prozess zu verbessern. Dazu werden mittels eines Algorithmus die Signaturen in einen Entscheidungsbaum überführt, mit dessen Hilfe während der Analyse so wenig wie möglich redundante Vergleiche durchgeführt werden. Eine detaillierte Beschreibung des Algorithmus' zur Baumkonstruktion findet sich im Papier.

Der Ansatz wurde für das Netzwerk-IDS SNORT implementiert. Mit der SNORT-NG genannten Implementierung wurden Experimente durchgeführte, die zeigen, dass deutliche Verbesserungen der Performance erreicht werden, die im Durchschnitt bei 40% liegen.

Ambiguity Resolution via Passive OS Fingerprinting

Greg Taleck (NFR Security, Inc., USA)

Abstract

Mehr und mehr sind Tools wie z.B. fragroute verfügbar, die Unterschiede in Protokollimplementierungen gängiger Betriebssysteme ausnutzen, um der Erkennung durch IDS zu entgehen. Aus diesem Grund wird es immer wichtiger für ein IDS, die vorhandenen Netzwerk-Stacks genau zu repräsentieren, um Fehlalarme und unerkannte Angriffe zu vermeiden.

Greg stellte in seinem Vortrag einen Ansatz vor, der passiv Betriebssystem Fingerprints erkennt und diese zur Auflösung von Mehrdeutigkeiten zwischen verschiedenen Netzwerk-Stack-Implementierungen verwendet.


Session 5: Anomaly Detection II - Chair: Roy Maxion (Carnegie Mellon University, USA)


Two Sophisticated Techniques to Improve HMM-based Intrusion Detection Systems

Sung-Bae Cho, Sang-Jun Han (Yonsei University, Korea)

Abstract

Hidden Markov Models (HMM) wurden bereits erfolgreich als Technik zur Modellierung normalen Verhaltens im Kontext der Anomalieerkennung eingesetzt. In realen Systemen benötigt der Ansatz jedoch relativ viel Zeit und besitzt eine relativ hohe False-Positiv-Rate. Als mögliche Lösung für dieses Problem sehen die Autoren die Berücksichtigung weitere Merkmale aus den Audit-Daten und die Verwendung weiterer Maße. Insbesondere schlagen sie die Extraktion von Privilegienflüssen vor. Mit der Verwendung dieses Modells erreichten die Autoren deutliche Geschwindigkeitsverbesserungen. Des weiteren plädieren die Autoren für die Verwendung von mehreren Modellen.

An Analysis of the 1999 DARPA/Lincoln Laboratory Evaluation Data for Network Anomaly Detection

Matthew V. Mahoney, Philip K. Chan (Florida Institute of Technology, USA)

Abstract

Phil stellte die Ergebnisse von Untersuchungen der zur Evaluation verwendeten (simulierten) Netzwerkdaten vor, die suggerieren, dass in den Daten Simulationsartefakte enthalten sind. Die Autoren untersuchten inwieweit man diese Artefakte beheben kann und welche Einflüsse diese auf die Anomalieerkennung haben. Dazu wurden reale Daten mit den simulierten Daten verglichen. Es stellte sich heraus, das die Daten unterschiedliche Wachstumswerte von Merkmalsdaten aufweisen. Diese Unterschiede können von Anomalieerkennungssystemen ausgenutzt werden, so dass die in der Evaluation erzielten Ergebnisse zu optimistisch sind. Um dieses Problem zu beheben wurde Hintergrundverkehr in die Netzwerkdaten gemixt.

Die Schlussfolgerungen aus der Arbeit sind, dass die Evaluationsdaten Merkmale mit zu kleinen Wertebereichen enthalten und einige Attribute nicht kontinuierlich wachsen. Diese Artefakte können durch das Mixen mit realem Hintergrundverkehr behoben werden. Die Ergebnisse können nicht für Signaturanalysesysteme angewendet werden.

In der anschließenden Diskussion wurde der Sinn von Tests mit simulierten Daten thematisiert. Fazit: für erste Tests eines Systems können simulierte Daten sinnvoll sein, für Bewertungen und Vergleiche müssen jedoch reale Daten herangezogen werden.


RAID 2004


Die RAID 2004 findet vom 15. bis 17. September in Nizza, Frankreich direkt im Anschluss an die ESORICS 2004 statt und wird von Eurocom ausgerichtet.