Präzise Angriffserkennung für Netz-Domänen durch Anwendungsklassifizierung – PANDA

Moderne Netzdomänen, z. B. ein Unternehmensnetz oder ein Campusnetz, setzen sich i. d. R. aus mehreren heterogenen, physisch und logisch getrennten Subnetzen, zumeist lokale Netze, zusammen. Datenflüsse verbleiben entweder innerhalb eines Netzsegments, überspannen mehrere Netzsegmente oder passieren den Uplink zum Internet. In der Praxis werden solche Domänen meist zentralisiert überwacht, indem der Datenverkehr am Uplink zum Internet erfasst und analysiert wird. Das erlaubt es, konkrete Angriffe aus dem Internet zu erkennen, schützt aber nicht oder nur unzureichend vor Angriffen aus dem Netz (Insider-Attacken), egal, ob sie gezielt initiiert oder von kompromittierten oder mitgebrachten (privaten) Geräten ausgelöst werden. Eine effiziente und möglichst genaue Überwachung größerer administrativer Netzdomänen erfordert ein maßgeschneidertes verteiltes Monitoring, das Daten in allen Subnetzen erfasst und an die vorhandenen Hosts und die eingesetzten Anwendungen angepasst ist.

Ein solches maßgeschneidertes verteiltes Monitoring stößt auf eine Reihe bisher ungelöster Probleme. Moderne Rechnernetze zeichnen sich durch steigende Datenraten (10–40 GBit/s) und ein stark schwankendes Datenaufkommen aus. Eine Angriffserkennung mittels einer detaillierten Paketanalyse ist nicht mehr realisierbar. Das führt  dazu, dass Analysedaten in Überlastsituationen ohne Berücksichtigung des Kontexts zufällig verworfen werden. Hohe Datenraten implizieren häufig auch hohe Fehlalarmraten. Ein weiteres Problem stellt die Behandlung von verschlüsseltem Datenverkehr und Angriffen dar. Datenverkehr wird zunehmend verschlüsselt gesendet – nicht zuletzt durch die Diskussionen um den NSA-Abhörskandal – dies gilt auch und gerade für koordinierte Angriffe, wodurch sich dieser Datenverkehr den traditionellen Analysetechniken entzieht. Zusätzlich erfordert die zunehmende Virtualisierung von Netzen eine dynamische Anpassung des Netzsicherheitsmonitorings und der Angriffsanalyse an sich verlagernde Aufgaben im Netz, von Endsystemen und Applikationen.

Ziel des durchzuführenden Forschungsvorhabens ist die Entwicklung adaptiver Methoden und Verfahren zur Lösung der skizzierten Probleme, die einem verteilten Netzmonitoring in großen Netzdomänen bisher entgegenstehen. Schwerpunkte der Untersuchungen sind u.a. die Entwicklung vom Strategien zur Reduzierung des Aufkommes an Analysedaten, Verfahren zur Protokoll- und Anwendungserkennung, um Fehlalarmraten signifikant zu senken, das Monitoring virtueller Maschinen und die Analyse verschlüsselten Datenverkehrs für Rückschlüsse auf die Art der Anwendung. Für die Lösung der Aufgaben werden u. a. Methoden des maschinellen Lernens genutzt.

Das Projekt wird gemeinsam mit der Universität Paderborn, Lehrstuhl Prof. Dressler, bearbeitet. Es hat am 1. Oktober 2018 begonnen und dauert 3 Jahre.

Unsere Webseite verwendet Cookies. Diese haben zwei Funktionen: Zum einen sind sie erforderlich für die grundlegende Funktionalität unserer Website. Zum anderen können wir mit Hilfe der Cookies unsere Inhalte für Sie immer weiter verbessern. Hierzu werden pseudonymisierte Daten von Website-Besuchern gesammelt und ausgewertet. Das Einverständnis in die Verwendung der technisch nicht notwendigen Cookies können Sie jeder Zeit wiederrufen. Weitere Informationen erhalten Sie auf unseren Seiten zum Datenschutz.

Erforderlich

Diese Cookies werden für eine reibungslose Funktion unserer Website benötigt.

Statistik

Für den Zweck der Statistik betreiben wir die Plattform Matomo, auf der mittels pseudonymisierter Daten von Websitenutzern der Nutzerfluss analysiert und beurteilt werden kann. Dies gibt uns die Möglichkeit Websiteinhalte zu optimieren.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird benutzt, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo