Anomalie-Erkennung im Netzwerk

Was ist heute schon normal?

8. März 2006, 0:25 Uhr | Stefan Bauer und Andreas Hellwig/wj Stefan Bauer und Andreas Hellwig arbeiten bei Varysys als Security Engineer Packetalarm und Channel-Manager Packetalarm.

Netzwerkbasierte Intrusion Detection, Intrusion Prevention und Unified Threat Management (UTM) nutzen das Prinzip der Anomalie-Erkennung. Um von diesem Ansatz zu profitieren und nicht zu viele False Positives zu produzieren, bedarf es ausgefeilter Analysetechniken.

Normal ist heute das, was eigentlich ein Ausnahmezustand sein sollte: Auch in diesem Jahr werden
die Bedrohungen für die Betreiber von Netzwerken weiter anwachsen, und gegen die kriminelle Energie
einiger übler Zeitgenossen werden auch weiterhin nur Investitionen zum Schutz der installierten
Systeme helfen. Schaden verursachen dabei immer häufiger gezielte Attacken mit kriminellem
Hintergrund anstelle der diffusen Hacker-Attacken früherer Zeiten. Die auf dem Markt erhältlichen
IDS/IPS-Systeme sind zu Glück leistungsfähige und vielfach erprobte Lösungen für die mannigfaltigen
Angriffsszenarien.

Unterschiedliche Analysetechniken

Generell können drei grundlegende Analysekonzepte innerhalb der Intrusion Detection benannt
werden. Das erste setzt auf das Aufspüren bekannter Angriffe mithilfe von Signaturen. Das zweite
stützt sich auf die Recherche nach auftretenden Protokollverletzungen, und das dritte fußt auf der
Erkennung von Anomalien, die ihrerseits auf Sicherheitsverletzungen beruhen.

Die signaturbasierte Analyse geht von der Annahme aus, dass ein spezieller Angriff durch ein
bestimmtes Muster (Signatur) der mit ihm verbundenen Geschehnisse beschrieben werden kann. Damit
ein hierauf gestützter Abwehrmechanismus Erfolg haben kann, müssen die Methoden der Angriffe
allerdings bereits bekannt sein, bevor eine konkrete Attacke stattfindet. Der Aufbau der Signaturen
reicht dabei von einfacher Zeichenerkennung in den Daten bis hin zu komplexen
Verhaltensmustern.

Im Fall des an zweiter Stelle genannten Konzepts, der Analyse der Protokollverletzungen, erfolgt
die Erkennung auf der IP-Protokollebene. Im Mittelpunkt stehen in diesem Fall Struktur und Inhalt
der Netzwerkkommunikation.

In diesem Artikel soll nun das dritte Analysekonzept im Mittelpunkt stehen: die Erkennung von
Anomalien.

Alarmierende Abweichungen

Der Datenverkehr eines Netzwerks unterliegt Schwankungen, die zeitlich bedingt und
volumenabhängig sind. Außerhalb der Arbeitszeiten sind andere Datenströme zu verzeichnen als zu
normalen Bürozeiten. Aber auch innerhalb der Bürozeiten sind Schwankungen üblich. Als Grundlage der
Anomalie-Erkennung gilt es, eine Abweichung vom "normalen" Datenverkehr und den normalen
Schwankungen zu identifizieren und in einen Alarm umzusetzen. Während Datenverkehr unterhalb des
Normalwertes auf ausgefallene Dienste oder Komponenten hindeutet, sind stark überproportional
angestiegene Datenströme meist ein Indiz für außergewöhnlich Vorgänge im Netzwerk selbst.

Es sollte möglichst der gesamte Netzwerkverkehr unter die Lupe genommen werden, damit auch
bisher unbekannte oder ungewöhnliche schädliche Aktivitäten auffallen. Hier müssen die
Sicherheitsverantwortlichen in einzelnen Bereichen noch umdenken. In fast allen
Sicherheits-Policies etwa werden Daten von innen nach außen als "trusted" (vertrauenswürdig) und
die von außen nach innen als "untrusted"(nicht vertrauenswürdig) eingestuft und bearbeitet. In
Zeiten einer Malware wie "Blaster" ist aber nie auszuschließen, dass die eigene Infrastruktur
bereits infiziert ist und der Malicious Code möglicherweise die gesamte Bandbreite zur Verbreitung
nutzt. Eine Anomalie-Erkennung stellt für den Betreiber von Netzwerken ein gutes Arbeitsmittel zur
Verfügung, das ihnen hilft, derartige Probleme zu erkennen.

Logische und statistische Verfahren

Innerhalb der Anomalie-Erkennung selbst können zwei unterschiedliche Verfahren zur Erkennung von
ungewöhnlichen Geschehnissen genannt werden: erstens das logische und zweitens das
statistische.

Die logische Anomalie-Erkennung erwartet vordefinierte zeitliche Abläufe im Netzwerkverkehr.
Stellt das IDS einen ihm bekannten Zustand fest, so erwartet es ein bestimmtes Verlaufsmuster, das
die weitere Kommunikation kennzeichnet. Tritt an einem der beteiligten Systeme nun ein abweichendes
Verhalten auf, wird für dieses Ereignis ein Alarm generiert.

Als ein Beispiel lässt sich der Aufbau einer POP3-Session zum Abruf von E-Mails heranziehen.
Normalerweise kann erwartet werden, dass sich der Benutzer in diesem Fall zuerst mit dem
Benutzernamen und dann mit einem Kennwort authentifiziert. Sollte beim Aufbau der Session ein
anderer Ablauf stattfinden, stellt dies eine Abweichung der normalen Kommunikation dar. Auf dieser
Basis generiert der Detektor eine Alarmmeldung.

Das Verfahren der logischen Anomalie-Erkennung erfordert im Vorfeld eine genaue Analyse des
Netzwerkverkehrs oder einen entsprechend komplexen Lernalgorithmus. Von den Grundzügen her
entspricht das Verfahren der signaturbasierten Analyse, da auch für dieses Modell gewisse Muster
gespeichert werden müssen. Die Alarmierung allerdings reagiert spiegelverkehrt: Die
signaturbasierten Analyse löst einen Alarm aus, sobald ein passendes Muster gefunden ist, und bei
der logischen Anomalieerkennung findet der Alarm dann statt, wenn ein Verhaltensmuster nicht zu den
gespeicherten passt.

Die statistische AnomalieErkennung bemüht sich dynamisch darum, das Netzwerk zu "verstehen" und
aufgrund von statistischen Daten Verkehr zu identifizieren, der vom normalen Verkehrsgebrauch und
den üblichen Verkehrsmustern abweicht.

Die statistische Anomalie-Erkennung kann weiter in grenz-wertbasierte, anpassungsbasierte und
grundlinienbasierte Methoden unterteilt werden, wobei jedes Verfahren nach den gleichen Kriterien
sucht, die ein unnormales Verhalten identifizieren. Bei der grenzwertbasierten Betrachtung wird
zunächst ein Grenzwert für die zu überwachenden Parameter definiert. Als Angriff gilt es, wenn der
Grenzwert im Laufe der Analyse überschritten wird. Ist zum Beispiel für einen Webserver ein
Grenzwert von 2000 Anfragen pro Minute definiert worden und treten zu irgendeinem Zeitpunkt mehr
als 2000 Anfragen pro Minute auf, wertet der Detektor dies als Anomalie und reagiert mit einer
Warnung.

Die grundlinienbasierte Erkennung funktioniert ähnlich wie die grenzwertbasierte Betrachtung,
nur wird in diesem Fall eine Grundlinie von dem zu überwachenden Parameter definiert, die den
normalen Zustand darstellt. Zusätzlich zur Grundlinie hält das System Toleranzwerte nach oben und
unten fest. Damit ergibt sich ein Band, innerhalb dessen die Werte für ein Normalverhalten liegen.
Ein Beispiel hierfür ist die Festlegung des normalen Netzwerkverkehrs auf durchschnittlich 80
MByte/h bei einer Toleranz von 20 MByte. Daraus ergibt sich ein normales Datenvolumen zwischen 60
und 100 MByte/h. Tritt mehr oder weniger Verkehr auf, stellt dies eine Abweichung vom Normalzustand
dar – wiederum eine Anomalie, hinter der ein potenzieller Angriff stecken könnte.

Selbstlernende Erkennung

Anpassungsorientierte Erkennung ist eine weiterentwickelte Methode des grundlinienbasierten
Verfahrens. Die Grundlinie des Netzwerkverkehrs stellt dabei einen Anfangswert dar. Diesen Wert
passt das Erkennungssystem im Laufe der Zeit an die aktuellen Gegebenheiten an. Bewerkstelligt wird
dies durch die Verwendung von statistischen Profilen. Als Basis existieren zwei Sätze an
Nutzungsdaten: das Langzeitprofil und das Kurzzeitprofil.

Das Langzeitprofil umfasst eine Zusammenfassung von Mustern, die über einen langen Zeitraum
gemessen wurden. Im Kurzzeitprofil sind dagegen nur die Daten aus einem kurzen Zeitabschnitt
gespeichert. Das System vergleicht nun beide Profile und wertet signifikante Abweichungen als
Anomalie und damit als potenzielle Attacke.

Neue Kurzzeitprofile werden aber auch routinemäßig in das Langzeitprofil übernommen, sodass die
neu gewonnen Messwerte in die bisherigen Messdaten mit einfließen. Dadurch passt sich die
Grundlinie an das geänderte Verhalten des Netzwerks mit an. Man spricht bei dieser Methodik auch
von selbstlernender, profilbasierter Erkennung.

Im Netzwerk und unter den darüber fließenden Datenpaketen gibt es verschiedene Parameter, die
für eine Anomalieerkennung als Kriterien in Frage kommen: Zeitabschnitte des Netzwerkverkehrs, das
Datenvolumen, die Zahl der transportierten Pakete, die Anzahl der Verbindungen und die der
verwendeten Ports.

Das Auswerten der Zeiträume, in denen Netzwerkverkehr herrscht, ist eine einfache, in heutiger
Zeit aber wenig praktikable Methode. Außerhalb der normalen Regelarbeitszeiten sollte bei dieser
Betrachtungsweise nur wenig Netzwerkverkehr auftreten. Die globale Vernetzung vieler Unternehmen
mit Niederlassungen, Partnern und Mitarbeitern in anderen Regionen der Erde hebelt diese Methodik
allein durch die Zugriffe aus anderen Zeitzonen aus.

Das Datenvolumen, das einem Unternehmen für den Zugang zum Internet zur Verfügung steht, ist in
den meisten Fällen begrenzt. Deshalb ist es sinnvoll, das Volumen und einzelne Dienste zu
überwachen. Viele erfolgreiche Angriffe haben zur Folge, das sich das Datenvolumen ändert, da die
Akteure die gehackten Rechner für eigene Zwecke und Dienste missbrauchen. Das Verfahren eignet sich
daher gut, erfolgreiche Angriffe aufzudecken. Eine Denial-of-Service-Attacke kann mit dieser
Methode beispielsweise schon im Vorfeld erkannt werden.

Manchmal zählt die Zahl der Pakete

Bei manchen Protokollen spielt das Datenvolumen keine Rolle. Hier ist es viel interessanter, die
Anzahl der Pakete zu überwachen. Ein exzellentes Beispiel dafür ist das ICMP-Protokoll für Status-
und Kontrollnachrichten. Sollte hier eine spezielle Nachricht überhand nehmen, kann dies auf einen
falsch konfigurierten Rechner hinweisen – oder aber darauf, dass ein IP-Spoofing-Angriff
stattfindet.

Das Überwachen aufgrund der Verbindungen gestaltet sich schwierig. Dies liegt daran, dass das
IP-Protokoll sowie das UDP-Protokoll verbindungslos arbeiten. Im Gegensatz dazu wird im
TCP-Protokoll über die Sequenznummer festgelegt, zu welcher Verbindung ein Paket gehört. Dennoch
ist die Überwachung der Verbindungen ein interessanter Ansatz, der in einer statistischen
Anomalie-Erkennung seinen Platz finden kann, da sich auf diese Weise der Zustand einzelner Systeme
genauer ermitteln lässt.

Das Kriterium "verwendete Ports" schließlich spielt ebenfalls eine wichtige Rolle für die
Anomalie-Erkennung. Agiert ein System, das als Client fungiert, urplötzlich als Server und empfängt
Pakete auf privilegierten Ports, ist das System umkonfiguriert worden. Hat ein Administrator diese
Aktion nicht bewusst vorgenommen, liegt mit hoher Wahrscheinlichkeit ein Angriff vor.

Fazit

Die Anomalie-Erkennung ist für Netzwerkbetreiber ein probates Tool, um Abnormitäten im
Datenverkehr zu ermitteln und in Alarme umzusetzen. Da Angriffe oder Auswirkungen von Angriffen oft
Abweichungen im Datenverkehr verursachen, können durch das Gesamtsystem IDS/IPS geeignete
Abwehrmaßnahmen eingeleitet werden.


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Matchmaker+