SEIO Research Areas: | Intrusion Detection | Malware Analysis | Inter-Domain Routing |
Intrusion Detection und Honeypots
IT-Systeme im Internet sind ständigen Angriffen ausgesetzt. Zur Unterscheidung legitimer und bösartiger Zugriffe werden Angriffserkennungssysteme (Intrusion Detection Systems, IDS) eingesetzt, die Attacken anhand hinterlegter Muster oder anormaler Netzwerkdaten identifizieren und dann Alarm geben oder Schutzmaßnahmen ergreifen sollen.
- Complex Heterogeneous Sensor Setups
- In-Time Rating, Warning and Alerting for Situational Awareness
- Automated Signature Generation
- Cluster-Based Anomaly Detection
- Multi-Stage Attack Correlation
- DNS based IDS Alerting
Zur Gewinnung dieser Muster und zur fundierten Beurteilung des jeweiligen Bedrohungspotentials erweisen sich „Honeypots“ als außerordentlich nützlich. Honeypots sind i.W. „Opfer-Systeme“, die in kontrollierter Weise Angriffe aufzeichnen und somit tiefe Einblicke in die Vorgehensweise der Hacker und in die Funktionsweise der verwendeten Schad-Software, der sog. Malware, zulassen.
- Proactive Attack Sensors complement Intrusion Detection
- Automation of Attack Analysis and Classification
- Active Sensor Development
- Malware Traps
Die Arbeitsgruppe Kommunikationssysteme ist zwar schon seit über 10 Jahren in dem hier angesprochenen Bereich aktiv, doch wurden diese Aktivitäten seit 2007 aufgrund der wachsenden Bedeutung massiv intensiviert und mit Unterstützung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf eine breitere Basis gestellt.
Als zentrale Komponente umfassender praxisorientierter Forschungsarbeiten betreibt die Arbeitsgruppe ein System verschiedener Honeypots mit Sensoren in den Bereichen verschiedener Internetprovider. Wichtige Informationen werden auch über Sensoren an diversen Messpunkten der Universität Bonn sowie durch die intensive Einbindung in die nationale und internationale „Honeynet-Community“ gewonnen. Einige Honeypot-Komponenten, die von Mitgliedern der Arbeitsgruppe entwickelt wurden, befinden sich weltweit im Einsatz.
Unsere >>> SecLab-Seiten bieten in Echtzeit eine Übersicht der Ergebnisse unserer automatischen Analyse der in unserem Honeynet gesammelten Daten. Trends, wie Umfang der Angriffe, geografischer Ort der angreifenden Systeme oder gesammelte Schadprogramme, können helfen, neue Phänomene wie Wurmausbrüche oder neuartige, flächendeckend ausgenutzte Sicherheitslücken zu erkennen. Die Sensorsysteme und Analyseverfahren werden fortlauf verbessert und weiterentwickelt, um die Fähigkeiten zum frühzeitigen Erkennen von Bedrohungen zu erhöhen.
Ein besonderes Highlight stellte im Jahr 2008 die Verleihung des AFCEA-Studienpreises an den damaligen Diplomanden und jetzigen wissenschaftlichen Mitarbeiter Tillmann Werner dar. Seine Arbeit zum Thema „Automatisches Generieren komplexer Intrusion-Detection-Signaturen“ zeigt neue Wege auf, wie aus aufgezeichneten Angriffsdaten automatisch Detektionsmuster berechnet werden können, die dann unmittelbar in Systemen zur Angriffserkennung einsetzbar sind und so auch Schutz vor bisher unbekannten Attacken bieten können.
Weitere Informationen: SEIO@ cs.uni-bonn.de