Projektbeschreibung
FIDeS steht für Frühwarn- und Intrusion Detection System auf der Basis von kombinierten Methoden der KI
Auf Basis von heterogenen Methoden der Künstlichen Intelligenz wird ein Frühwarnsystem entwickelt, das bei der Analyse von Angriffen und der Durchführung von Gegenmaßnahmen eine angemessene Unterstützung gibt.
Unternehmen und Organisationen können ohne IT und Kommunikationsnetze nicht mehr tätig sein und werden zudem noch immer abhängiger von neueren Technologien wie z.B. dem Internet, Web Services und Mobile Computing. Viele sicherheitskritische Geschäftsprozesse wie z.B. finanzielle Transaktionen werden elektronisch abgebildet; ein Ausfall der Kommunikation oder unerlaubte Zugriffe auf Geschäftsprozesse können hier zu einem erheblichen finanziellen Schaden oder zumindest zu einem Imageverlust führen. Besonders kritisch ist die Ressource „Inter/Intranet“ zusammen mit mobilen Zugriffen darauf anzusehen.
Da aber IT-Systeme immer komplexer werden, wächst auch die Fehleranfälligkeit dieser Systeme, die wiederum Möglichkeiten für neue, z.T. unbekannte Formen von Angriffen bietet (so genannte Zero-Day-Exploits).
Angriffe auf die IT-Systeme von Unternehmen werden immer professioneller. Datenspionage hat längst die Dimension von organisierter Kriminalität angenommen. Neben der stärkeren Sensibilisierung von Mitarbeitern für die Gefahren geht es strukturell um die Frage, wie sich Angriffe von professionellen Datenspionen frühzeitig lassen.
Besonders interessant sind professionelle Angriffe auf Service-Oriented Architectures (SOA) und dem oft damit verbundenem SOAP-Protokoll. Vor allem wird erwartet, dass in Zukunft verschiedenste Angriffe über das SOAP-Protokoll vorgetragen werden, wie der Sicherheitsexperte Mc-Graw provokativ formuliert:
A good example of this phenomenon is the SOAP protocol, which is designed (on purpose) to shuffle traffic through port 80 for various different applications. In some sense, SOAP is an anti-security device invented by software people so that they could avoid having to ask hardnosed security people to open a firewall port for them. Once a tunnel like this is operational, the very idea of a firewall seems quaint…” (G. McGraw. Software Security – Building Security in. Addison-Wesley, 2006)
Ziel des Forschungsprojektes FIDeS ist die Entwicklung eines umfassenden Assistenzsystems zur Früherkennung von Angriffen aus dem Internet, aber auch in lokalen Netzen. Im Rahmen dieses Projektes werden nicht nur die verbreiteten Internet-Protokolle wie z.B. HTTP und FTP behandelt, sondern auch neuere Protokolle wie z.B. VoIP-Protokolle oder SOAP. Hierdurch können neben Angriffen auf Internetknoten auch Sicherheitsvorfälle, die von mobilen Endgeräten ausgehen, sowie missbräuchliche Zugriffe in sicherheitskritischen, IT-gestützten Geschäftsprozessen von Unternehmen erkannt werden.
Herkömmliche Intrusion Detection Systeme (IDS) und insbesondere IDS zur Anomalieerkennung verursachen z.T. Fehlalarme (false positives) oder erkennen Angriffe nicht (false negatives). In FIDeS wird komplementär zu anomaliebasierten IDS ein Frühwarnsystem auf Basis von heterogenen Methoden der Künstlichen Intelligenz (KI) entwickelt, das einem Sicherheitsverantwortlichen bei der Analyse von Angriffen und der Durchführung von Gegenmaßnahmen eine angemessene Unterstützung gibt. Es steht also mehr die Assistenz im Vordergrund als die Angriffserkennung.
Sicherheitsverantwortliche benötigen gerade beim Vorliegen professioneller Angriffe auf ihre Organisationen konkrete Handlungsanweisungen. Gleichzeitig kann aber nicht in jedem Fall erwartet werden, dass das IDS jede Angriffssituation selbstständig erkennt bzw. richtig deutet. Aus diesem Grunde muss auch dem Sicherheitsverantwortlichen die Möglichkeit gegeben werden, sein Fachwissen über Systeme und Angriffe dem IDS zur Verfügung zu stellen. Aus diesem Grunde wird in FIDeS ein Frühwarnsystem entwickelt, welches in einem Dialog mit dem Sicherheitsverantwortlichen mögliche Bedrohungssituationen zu erkennen sucht, um anschließend angemessene Gegenmaßnahmen einzuleiten.
Das Spektrum der in FIDeS eingesetzten KI-Methoden reicht von der deklarativen Wissensrepräsentation über die Generierung von Erklärungen bis hin zur kognitiven Assistenz. Eine Integration mit einem System zur anomaliebasierten Angriffserkennung ist vorgesehen, wobei auf schon vorhandene Systeme (wie z.B. den Systemen aus dem ReMIND-Projekt) zurückgegriffen werden kann.
Insbesondere weist das Assistenzsystem zur Frühwarnung die folgenden Merkmale auf:
- Bereitstellung von plausiblen (nachvollziehbaren) Erklärungen für einen Angriff,
- deklarative Beschreibung von Angriffswissen, angreifbaren Systemen und Systemkomponenten sowie von Gegenmaßnahmen
- interaktive Assistenz bei der Durchführung und Auswahl von Gegenmaßnahmen für Angriffe
- Vorhersage über den weiteren Verlauf eines Angriffs (inkl. Plausibilitätsüberprüfung der Vorhersage)
- Skalierbarkeit für Erklärungen und Vorhersagen (z.B. in Abhängigkeit des erwarteten Risikos)
- Bereitstellung einer Wissensdatenbank (mit Beschreibungen über Angriffe und Gegenmaßnahmen/Handlungsanweisungen)
Letztendlich werden während der gesamten Entwicklung des Frühwarnsystems auch Datenschutzanforderungen berücksichtigt. So darf ein Provider aus datenschutzrechtlichen Gründen im Allgemeinen nicht die Inhalte von Datenpaketen anschauen.
