Intrusion Detection Systeme

Die Wahrscheinlichkeitsverteilung der Angriffserkennung mit zunehmender Angriffsintensität

Diplomarbeit, 2008
89 Seiten, Note: 1,7

Informatik - Wirtschaftsinformatik

Leseprobe

Inhaltsverzeichnis

1 Einleitung

2 Grundbegriffe der IT-Sicherheit

2.1 Die IT-Sicherheit und ihre Ziele

2.2 Der Angriff

2.3 Ein nicht autorisierter Nutzer

2.4 Intrusion Detection und Intrusion Detection Systeme

2.5 Computer und Netzwerke

3 Forschungsfrage

4 Ergebnisse der Literatur

4.1 Angriffe

4.2 Intrusion Detection Systeme

4.2.1 Komponenten von Intrusion Detection Systemen

4.2.1.1 Ereigniskomponente

4.2.1.2 Analyse- und Datenbankkomponente

4.2.1.3 Reaktionskomponente

4.2.2 Arten von Intrusion Detection Systemen

4.2.2.1 Datenquellen

4.2.2.1.1 Hostbasierte Systeme

4.2.2.1.2 Applikationsbasierte Systeme

4.2.2.1.3 Netzwerkbasierte Systeme

4.2.2.2 Analysearten

4.2.2.2.1 Missbrauchserkennung

4.2.2.2.2 Anomalieerkennung

4.2.2.3 Analysezeitpunkt

4.2.2.3.1 Realtime

4.2.2.3.2 Forensic Analysis

4.2.3 Methoden der Analyse

4.2.3.1 Methoden im Rahmen der Missbrauchserkennung

4.2.3.1.1 Signaturanalyse mit Boyer-Moore-Algorithmus

4.2.3.1.2 Regelbasiertes Expertensystem

4.2.3.1.3 State Transition Analysis

4.2.3.2 Methoden im Rahmen der Anomalieerkennung

4.2.3.2.1 Statistische Anomalieerkennung

4.2.3.2.2 Regelbasierte Anomalieerkennung

4.2.3.2.3 Neuronale Netze

4.3 Beantwortung der Forschungsfrage

5 Methoden und ihre Erkennungswahrscheinlichkeit

5.1 Szenarien der Angriffserkennung

5.1.1 Die Anwendung der Missbrauchserkennung

5.1.1.1 Vorüberlegungen zur Missbrauchserkennung

5.1.1.2 Szenario zum Boyer-Moore-Algorithmus

5.1.1.3 Szenario zum regelbasierten Expertensystem

5.1.1.4 Szenario zur State Transition Analysis

5.1.1.5 Zusammenfassung der Erkenntnisse bei der Missbrauchserkennung

5.1.2 Die Anwendung der Anomalieerkennung

5.1.2.1 Vorüberlegungen zur Anomalieerkennung

5.1.2.2 Szenario zur statistischen Anomalieerkennung

5.1.2.3 Szenario zur regelbasierten Anomalieerkennung

5.1.2.4 Szenario zu Neuronalen Netzen

5.1.2.5 Zusammenfassung der Erkenntnisse bei der Anomalieerkennung

5.2 Allgemeiner Verlauf der Erkennungswahrscheinlichkeit

6 Kritische Würdigung

7 Zusammenfassung und Ausblick

Zielsetzung & Themen

Das Hauptziel dieser Diplomarbeit besteht darin, die Wahrscheinlichkeitsverteilung der Angriffserkennung durch Intrusion Detection Systeme (IDS) in Abhängigkeit von der Angriffsintensität zu modellieren. Dabei soll untersucht werden, wie sich das Verhalten eines rational handelnden und finanziell motivierten Angreifers verändert, wenn die Wahrscheinlichkeit der Entdeckung durch wiederholte Ausführung von Attacken beeinflusst wird, um daraus optimale Investitionsstrategien für die IT-Sicherheit abzuleiten.

Analyse der Funktionsweisen und Methoden von Intrusion Detection Systemen
Unterscheidung zwischen Missbrauchs- und Anomalieerkennung
Modellierung des Verlaufs der Erkennungswahrscheinlichkeit bei zunehmender Angriffsintensität
Untersuchung des Einflusses von Angreiferverhalten und -strategien
Herleitung einer allgemeinen Wahrscheinlichkeitsverteilung für die IT-Sicherheit

Auszug aus dem Buch

4.2.3.1.1 Signaturanalyse mit Boyer-Moore-Algorithmus

Das Open Source Programm SNORT ist ein netzwerkbasiertes IDS für kleine, nicht übermäßig stark genutzte TCP/IP Netzwerke (Roesch 1999, S. 229). Die Mustererkennung, d.h. der Vergleich der auditierten Systemaktivitäten mit den als gefährlich definierten Signaturen, erfolgt mit dem Boyer-Moore-Algorithmus (Roesch 1999, S. 235).

Im Jahr 1977 veröffentlichten Boyer und Moore ihren schnellen Suchalgorithmus für String-Variablen (Boyer und Moore 1977). Auf ihren Artikel bezieht sich der gesamte Abschnitt. Der von ihnen beschriebene Algorithmus vergleicht die Zeichen eines vorgegebenen Musters mit dem Text des Audit-Records. Der Abgleich erfolgt vom Ende des Musters her von rechts nach links mit dem Text während das Muster von links nach rechts weitergeschoben wird.

Ein Beispiel für diesen Algorithmus als Programmcode in C ist in Anhang A.1 abgebildet. Auf eine vertiefende Erörterung der Implementierung wird im Rahmen dieser Arbeit verzichtet. Für den weiteren Verlauf ist das Verständnis der Funktionsweise des Algorithmus wichtig, auf welches das Szenario in Kapitel 5.1.1.2 aufbauen wird.

Boyer und Moore bezeichnen ihren Algorithmus im Gegensatz zu dem von Knuth, Morris und Pratt (Knuth et al. 1977) als sublinear. Sie beschreiben damit, dass die Anzahl der zu untersuchenden Zeichen in den Audit-Records sinkt, wenn die Zeichenlänge des Musters, d.h. der Signatur steigt. Der Effekt begründet sich darauf, dass der Vergleich von rechts nach links mehr Informationen bringt. Die tatsächliche Anzahl hängt von den statistischen Eigenschaften der Zeichen ab, die in der Signatur und dem Text der Audit-Records vorkommen. Generell gilt jedoch, dass der Boyer-Moore-Algorithmus mit zunehmender Signaturlänge schneller wird. (Boyer und Moore 1977, S. 762)

Zusammenfassung der Kapitel

1 Einleitung: Diese Einleitung führt in die Thematik der Intrusion Detection ein, definiert das Ziel der Modellierung des Angreiferverhaltens und beschreibt den Aufbau der Arbeit.

2 Grundbegriffe der IT-Sicherheit: In diesem Kapitel werden grundlegende Konzepte wie IT-Sicherheitsziele, der Begriff des Angriffs, Arten von Angreifern sowie die Aufgaben von Intrusion Detection Systemen definiert.

3 Forschungsfrage: Das Kapitel erörtert die Motivation der Arbeit, den Einfluss der Angriffsintensität auf die Erkennungswahrscheinlichkeit zu untersuchen, um Angreiferverhalten besser modellieren zu können.

4 Ergebnisse der Literatur: Hier wird der aktuelle Stand der Forschung zu Angriffen und Intrusion Detection Systemen (Komponenten, Arten, Methoden) zusammengefasst und kritisch beleuchtet.

5 Methoden und ihre Erkennungswahrscheinlichkeit: In diesem Hauptteil werden anhand von Szenarien die Erkennungswahrscheinlichkeiten verschiedener Methoden der Missbrauchs- und Anomalieerkennung analysiert und eine allgemeine Wahrscheinlichkeitsverteilung abgeleitet.

6 Kritische Würdigung: Dieses Kapitel diskutiert die getroffenen Annahmen und Vereinfachungen der Arbeit sowie deren Einfluss auf die Gültigkeit der abgeleiteten Ergebnisse.

7 Zusammenfassung und Ausblick: Die Arbeit schließt mit einer Synthese der Erkenntnisse und gibt Empfehlungen für weiterführende theoretische und empirische Forschungsprojekte.

Schlüsselwörter

Intrusion Detection Systeme, IDS, IT-Sicherheit, Angriffserkennung, Erkennungswahrscheinlichkeit, Angriffsintensität, Missbrauchserkennung, Anomalieerkennung, Boyer-Moore-Algorithmus, Expertensystem, State Transition Analysis, Statistische Anomalieerkennung, Neuronale Netze, Angreiferverhalten, Audit-Records.

Häufig gestellte Fragen

Worum geht es in dieser Arbeit grundsätzlich?

Die Diplomarbeit untersucht die Leistungsfähigkeit von Intrusion Detection Systemen (IDS), speziell im Hinblick darauf, wie die Wahrscheinlichkeit, einen Angriff zu erkennen, mit der Anzahl der Wiederholungen desselben Angriffs (Angriffsintensität) variiert.

Was sind die zentralen Themenfelder?

Die zentralen Felder sind die Funktionsweise von Intrusion Detection Systemen, die Klassifizierung von Angriffen, die mathematische Analyse von Erkennungswahrscheinlichkeiten sowie die Verhaltensmodellierung von rational agierenden Angreifern.

Was ist das primäre Ziel oder die Forschungsfrage?

Das primäre Ziel ist es, eine allgemeine Aussage über die Wahrscheinlichkeitsverteilung der Angriffserkennung bei zunehmender Angriffsintensität zu treffen, um diese Erkenntnisse für eine optimale Investitionsstrategie in IT-Sicherheit zu nutzen.

Welche wissenschaftliche Methode wird verwendet?

Die Autorin nutzt eine methodische Analyse auf Basis von Szenarien. Dabei werden verschiedene technische Ansätze (Missbrauchs- und Anomalieerkennung) in fiktiven, aber realitätsnahen Szenarien modelliert, um den Verlauf der Erkennungswahrscheinlichkeit theoretisch herzuleiten.

Was wird im Hauptteil behandelt?

Im Hauptteil (Kapitel 5) werden die Funktionsweisen spezifischer Analysemethoden wie Boyer-Moore, regelbasierte Expertensysteme, State Transition Analysis, statistische Verfahren und neuronale Netze in Szenarien angewandt, um deren Verhalten bei sich wiederholenden Angriffen zu quantifizieren.

Welche Schlüsselwörter charakterisieren die Arbeit?

Die Arbeit lässt sich durch Begriffe wie Intrusion Detection, Erkennungswahrscheinlichkeit, Angriffsintensität, Missbrauchs- und Anomalieerkennung sowie Modellierung von Angreiferverhalten charakterisieren.

Warum ist der Boyer-Moore-Algorithmus relevant für die Untersuchung?

Der Algorithmus ist ein klassisches Beispiel für die Signaturanalyse innerhalb der Missbrauchserkennung. Seine Funktionsweise dient als Basis, um in Szenarien zu zeigen, wie sich die Trefferwahrscheinlichkeit ändert, wenn ein Angreifer Signaturen variiert oder beibehält.

Welche Rolle spielt die Differenzierung zwischen Missbrauchs- und Anomalieerkennung?

Sie ist entscheidend, da beide Ansätze grundlegend unterschiedliche mathematische Verläufe der Erkennungswahrscheinlichkeit aufweisen: Während Missbrauchserkennung oft auf bekannte Muster setzt, die sich bei wiederholten Versuchen (mit Lernkurve) besser erkennen lassen, analysiert die Anomalieerkennung Abweichungen vom statistischen Normalzustand.

Ende der Leseprobe aus 89 Seiten - nach oben

Details

Titel: Intrusion Detection Systeme
Untertitel: Die Wahrscheinlichkeitsverteilung der Angriffserkennung mit zunehmender Angriffsintensität
Hochschule: Universität Augsburg (Lehrstuhl für Betriebswirtschaftslehre, Wirtschaftsinformatik & Financial Engineering)
Note: 1,7
Autor: Adeline Galonska (Autor:in)
Erscheinungsjahr: 2008
Seiten: 89
Katalognummer: V135617
ISBN (Buch): 9783640434565
ISBN (eBook): 9783640434749
Dateigröße: 1057 KB
Sprache: Deutsch
Schlagworte: Intrusion Detection Systeme Wahrscheinlichkeitsverteilung Angriffserkennung Angriffsintensität
Produktsicherheit: GRIN Publishing GmbH
Preis (Ebook): US$ 42,99

Arbeit zitieren: Adeline Galonska (Autor:in), 2008, Intrusion Detection Systeme, München, Page::Imprint:: GRINVerlagOHG, https://www.diplomarbeiten24.de/document/135617