Präzise Angriffserkennung für Netz-Domänen durch Anwendungsklassifizierung – PANDA
Moderne Netzdomänen, z. B. ein Unternehmensnetz oder ein Campusnetz, setzen sich i. d. R. aus mehreren heterogenen, physisch und logisch getrennten Subnetzen, zumeist lokale Netze, zusammen. Datenflüsse verbleiben entweder innerhalb eines Netzsegments, überspannen mehrere Netzsegmente oder passieren den Uplink zum Internet. In der Praxis werden solche Domänen meist zentralisiert überwacht, indem der Datenverkehr am Uplink zum Internet erfasst und analysiert wird. Das erlaubt es, konkrete Angriffe aus dem Internet zu erkennen, schützt aber nicht oder nur unzureichend vor Angriffen aus dem Netz (Insider-Attacken), egal, ob sie gezielt initiiert oder von kompromittierten oder mitgebrachten (privaten) Geräten ausgelöst werden. Eine effiziente und möglichst genaue Überwachung größerer administrativer Netzdomänen erfordert ein maßgeschneidertes verteiltes Monitoring, das Daten in allen Subnetzen erfasst und an die vorhandenen Hosts und die eingesetzten Anwendungen angepasst ist.
Ein solches maßgeschneidertes verteiltes Monitoring stößt auf eine Reihe bisher ungelöster Probleme. Moderne Rechnernetze zeichnen sich durch steigende Datenraten (10–40 GBit/s) und ein stark schwankendes Datenaufkommen aus. Eine Angriffserkennung mittels einer detaillierten Paketanalyse ist nicht mehr realisierbar. Das führt dazu, dass Analysedaten in Überlastsituationen ohne Berücksichtigung des Kontexts zufällig verworfen werden. Hohe Datenraten implizieren häufig auch hohe Fehlalarmraten. Ein weiteres Problem stellt die Behandlung von verschlüsseltem Datenverkehr und Angriffen dar. Datenverkehr wird zunehmend verschlüsselt gesendet – nicht zuletzt durch die Diskussionen um den NSA-Abhörskandal – dies gilt auch und gerade für koordinierte Angriffe, wodurch sich dieser Datenverkehr den traditionellen Analysetechniken entzieht. Zusätzlich erfordert die zunehmende Virtualisierung von Netzen eine dynamische Anpassung des Netzsicherheitsmonitorings und der Angriffsanalyse an sich verlagernde Aufgaben im Netz, von Endsystemen und Applikationen.
Ziel des durchzuführenden Forschungsvorhabens ist die Entwicklung adaptiver Methoden und Verfahren zur Lösung der skizzierten Probleme, die einem verteilten Netzmonitoring in großen Netzdomänen bisher entgegenstehen. Schwerpunkte der Untersuchungen sind u.a. die Entwicklung vom Strategien zur Reduzierung des Aufkommes an Analysedaten, Verfahren zur Protokoll- und Anwendungserkennung, um Fehlalarmraten signifikant zu senken, das Monitoring virtueller Maschinen und die Analyse verschlüsselten Datenverkehrs für Rückschlüsse auf die Art der Anwendung. Für die Lösung der Aufgaben werden u. a. Methoden des maschinellen Lernens genutzt.
Das Projekt wird gemeinsam mit der Universität Paderborn, Lehrstuhl Prof. Dressler, bearbeitet. Es hat am 1. Oktober 2018 begonnen und dauert 3 Jahre.