Group-based IDS Collaboration Framework [article]

Rainer Bye, Technische Universität Berlin, Technische Universität Berlin, Sahin Albayrak
2013
Autonomic Computing (AC) verfolgt die Idee von sich selbst verwaltenden computerbasierten Systemen, die gemäß vorab festgelegten Richtlinien agieren. Ein wichtiger Aspekt ist Self-Protection, der Selbstschutzgedanke, der auch die Erkennung von (verteilten) Angriffen beinhaltet. Anomaliebasierte Angriffserkennungssysteme (IDS), wie das Artificial Immune System (AIS) werden als geeignet für AC erachtet um bösartige Aktivitäten selbstständig zu erkennen. Sie unterliegen aber Einschränkungen wie
more » ... en Fehlalarmraten sowie einer fehlenden Skalierbarkeit von Trainings- und Erkennungsalgorithmen. In der letzten Dekade sind Collaborative IDS (CIDS) als eine vielversprechende Lösung für Angriffserkennung in Erscheinung getreten. CIDS profitieren von der verteilten Lösung von Problemen, der Teamarbeit sowie Korrelation von Information aus verschiedenen Quellen. Der Einsatz von CIDS bedeutet aber auch neue Herausforderungen wie die Verwaltung von Kollaboration sowie durch sie induzierte Angriffsmöglichkeiten. Diese Arbeit beschreibt ein gruppenbasiertes Kollaborationsframework zur Realisierung von CIDS am Beispiel von Softwareagenten, die AIS-basierte Erkennungsalgorithmen ausführen. Dieses Framework unterstützt bei einer skalierbaren Erkennung sowie der Verbesserung der Fehlalarmraten. Das kollaborative AIS (CAIS) stellt weitere Anforderungen an das Framework. Dementsprechend integrieren wir ein Kommunikationsprotokoll zum anonymen Informationsaustausch sowie einen Algorithmus zur Auswahl passender Gruppen von Softwareagenten anhand einer Kollaborationsrichtlinie. Des Weiteren präsentieren wir Werkzeuge für die Bewertung des Gesamtsystems basierend auf analytischen Modellen und Simulation. Das resultierende Kollaborationsframework deckt den kompletten Lebenszyklus eines verteilten, anomaliebasierten IDS ab: Initialisierung, Organisation, Erkennung und Reaktion. Die das CAIS realisierenden Software-Agenten tragen somit zur Selbstverwaltung gemäß des Autonomic Computing im Rahmen der Selbstschutzkomponente bei.
doi:10.14279/depositonce-3764 fatcat:ncscbf5m7vbe5liu4cc5tk63jm