Verhaltens-basierte Computerwurm-Erkennung

download Verhaltens-basierte Computerwurm-Erkennung

of 40

  • date post

    29-Jan-2016
  • Category

    Documents

  • view

    56
  • download

    0

Embed Size (px)

description

Verhaltens-basierte Computerwurm-Erkennung. Teil 1: Verhaltens-basierte Detektionstechniken. Motivation und Fallstudie Überblick über Computerwurmverteidigung Verhaltens-basierte Detektionstechniken mit Beispielen Connection Failure (TRW) Netzwerk-Teleskope - PowerPoint PPT Presentation

Transcript of Verhaltens-basierte Computerwurm-Erkennung

Folie 1

Verhaltens-basierteComputerwurm-Erkennung

07.02.2013 | Security Engineering Group | Prof. Dr. Katzenbeisser

07.02.2013 | Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | Nr.

Einleitung:

Was charakterisiert verhaltens-basierte Computerwurmerkennungssysteme?NetzwerkgatewaysKeine Betrachtung des Payloads sondern Anomalien im Verhalten anhand Verbindungsparameter5. Februar 2013| | 1Teil 1: Verhaltens-basierte DetektionstechnikenMotivation und Fallstudieberblick ber ComputerwurmverteidigungVerhaltens-basierte Detektionstechniken mit BeispielenConnection Failure (TRW)Netzwerk-TeleskopeMuster in Zieladressen (MRW, RBS, TRW+RBS)Causation (DSC, PGD, SWORD/2)EntropieVergleich der Techniken

07.02.2013 | Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | Nr.

Im ersten, greren Teil meiner Prsentation mchte ich euch verschiedene verhaltens-basierte Detektionstechniken nher bringenDazu.motivation, berblickIm zweiten kleineren Teil werden die Detektoren aus dem ersten Teil evaluiert.

bergang: Warum also sollte man verhaltens-basierte Wurmerkennung bentigen?5. Februar 2013| | 21. MotivationNetzwerktechnik hat sich weiterentwickelt!Geschwindigkeit und Anzahl Teilnehmer (Handys,) Potentieller Wurmschaden - Softwarekomplexitt Zero-Day-Lcken Wurmkomplexitt und Verschleierungsmanahmen z.B. W32.Conficker/W32.StuxNet

klassische Verfahren nicht ausreichend

07.02.2013 | Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | Nr.

Wurmkomplexitt: Polymorphie

bergang: Genug von den Hiobsbotschaften. Um neuen komplexen Wrmern, die Zero-Day-Lcken nutzen, mit verhaltens-basierten Anstzen vorzubeugen, muss man Wrmerin der Wildnis genauer studieren, dazu folgt nun eine kurze Wurm-Analyse und Fallstudie.5. Februar 2013| | 3

Wurmverbreitungsstrategien:Naive Wrmer:zufllig, sequentiell, permutierendmit lokaler Prferenz (Adressen-Prfix)

Raffinierte Wrmer:mit Hit-Listentopologisch (Sammeln von Netzwerkinformationen)

1. Motivation: Fallstudie

Quelle: http://www.springerlink.com/index/Y5848Q12J3R747U8.pdf http://www.springerlink.com/content/343478142vt51384/fulltext.pdf07.02.2013 | Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | Nr.

In der Arbeit: How to own the internet in your spare time von Staniford et al.

bergang: Schauen wir uns nun ein paar Wrmer genauer an5. Februar 2013| | 41. Motivation: Fallstudie

Quelle: https://scholarsbank.uoregon.edu/xmlui/bitstream/handle/1794/12341/Stafford_oregon_0171A_10322.pdf07.02.2013 | Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | Nr.

Code Red ll : Backdoor steigende GefahrSQL Slammer: UDP sehr schnelle VerbreitungWitty: sehr zerstrerischSanty: Scannen mit GoogleConficker: UpdateroutinenIKEE.B: Konfigurationsschwche Jailbreaksed Iphones + SSHStuxNet iranische Urananlagen sabotiert + mehrfache zero days

bergang: Es folgt nun bersicht mglicher Detektions-Verfahren nach John Shadrach Stafford,Auf dessen Thesis der Groteil meiner Arbeit beruht.

6. Februar 2013| | 52. berblick ber Computerwurmverteidigung

Quelle: http://pdf.aminer.org/000/083/764/design_space_and_analysis_of_worm_defense_strategies.pdf07.02.2013 | Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | Nr.

Reaktive Antikrper Verteidigung: gefhrliche Pakete verndern

bergang: Eine nhere Eingrenzung der Verfahren bringt die Kategorisierung nach John Shadrach Stafford,Auf dessen Thesis der Groteil meiner Arbeit beruht.5. Februar 2013| | 6

2. berblick ber ComputerwurmverteidigungQuelle: https://scholarsbank.uoregon.edu/xmlui/bitstream/handle/1794/12341/Stafford_oregon_0171A_10322.pdf07.02.2013 | Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | Nr.

John Shadrach Stafford unterscheidet

bergang: Verhaltensbasierte Detektoren sind als an Netzwerkgateways angesiedelt und es gibt eine Reihe von Techniken welche ich nun nher untersuchen mchte.5. Februar 2013| | 7Connection Failure3. Verhaltens-basierte Detektionstechniken mit Beispielen

Quelle: http://ants.iis.sinica.edu.tw/3BkMJ9lTeWXTSrrvNoKNFDxRm3zFwRR/17/04483668.pdf07.02.2013 | Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | Nr.

3 verschiedene Anzeichen von Verbindungsverlust messen der Verbindungsverlustrate mit Grenzwert(Verbindungsverluste besonders bei zufllig scannenden Wrmern)

bergang: Ein Beispiel dafr ist der TRW Detektor5. Februar 2013| | 8TRW (Treshold Random Walk):Schechter et al. 2004berwacht alle Hosts:alarmiert bei Grenzwert-berschreitung der Verbindungs-verlustrate eines Hosts

Connection Failure - TRW3. Verhaltens-basierte Detektionstechniken mit BeispielenVerbindungs-erfolgsrateVerbindungs-verlustrateLikelihoodThreshold

07.02.2013 | Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | Nr.

bergang: Die nchste Technik, beruht auf der Dark-Net Idee (also einem berwachungsnetzwerk)5. Februar 2013| | 9Netzwerk-Teleskop3. Verhaltens-basierte Detektionstechniken mit BeispielenQuelle: http://www.caida.org/projects/network_telescope/images/DoS_Frame_3.gif

07.02.2013 | Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | Nr.

hnlich Connection FailureAnwendung in vielen Netzwerken Wurmverkehr im gesamten Internet verfolgenZu viele verteilte Dark Addresses kein Beispiel

bergang: Eine beliebte Technik, welche von vielen verhaltens-basierten Detektoren genutzt wird ist die Muster in Zieladressen Technik

5. Februar 2013| | 10 Muster in Zieladressen3. Verhaltens-basierte Detektionstechniken mit Beispielen

Quelle: http://ants.iis.sinica.edu.tw/3BkMJ9lTeWXTSrrvNoKNFDxRm3zFwRR/17/04483668.pdf07.02.2013 | Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | Nr.

Unabhngig von Wurm-Scan-Strategie (Ausnahme USB Sticks)Aufgrund Musternderung Detektion auf kurz oder lang je nach Grenzwert mglich

bergang: Es folgen nun 3 Detektoren, die diese Technik nutzen

5. Februar 2013| | 11MRW (Multi Resolution Worm Detector):Sekar et al. 2006Detektion ber hohe Verbindungsrate zu neuen Zieladressen eines Hostsessentielles Wurmverhalten:Infektionssttigung konkave KurveBeobachtung von Hosts bermehrere Zeitfenster mitmehreren Grenzwerten

Muster in Zieladressen - MRW3. Verhaltens-basierte Detektionstechniken mit Beispielen

Quelle: http://www.cs.wm.edu/~hnw/courses/cs780/papers/monitoringEarlyWarning.pdf07.02.2013 | Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | Nr.

bergang: Der nchste Detektor ist der RBS Detektor

5. Februar 2013| | 12RBS (Ratebased Sequential Hypothesis Testing):Jung et al 2007 = hnlicher Ansatz wie MRW und TRWZwischenankunftszeit neuer Verbindungen wird auf Exponential-Verteilung abgebildet

Muster in Zieladressen - RBS3. Verhaltens-basierte Detektionstechniken mit Beispielen

Quelle: http://www.springerlink.com/index/Y5848Q12J3R747U8.pdf07.02.2013 | Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | Nr.

5. Februar 2013| | 13RBS (Ratebased Sequential Hypothesis Testing):Alarmierung bei Grenzwertberschreitung des Likelihood zwischen 2 Hypothesen:

Muster in Zieladressen - RBS3. Verhaltens-basierte Detektionstechniken mit BeispielenH0: Kein Wurmbefall und geringe RateH1: Wurmbefall und hohe Rate

Quelle: http://www.springerlink.com/index/Y5848Q12J3R747U8.pdfScannender WurmNormaler Netzverkehr07.02.2013 | Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | Nr.

bergang: Aus dem TRW und RBS kann man einen Kombinierten Detektor implementieren5. Februar 2013| | 14TRW+RBS:Kombination aus TRW und RBS, Jung et al. 2008Einsatz zweier Detektionstechniken: Connection Failure + Muster in Zieladressen

Muster in Zieladressen TRW+RBS3. Verhaltens-basierte Detektionstechniken mit BeispielenRate neuer Verbindungen bei keinem WurmbefallRate neuer Verbindungen bei WurmbefallLikelihood+ Threshold +Verbindungs-erfolgsrateVerbindungs-verlustrateLikelihoodTRWRBS07.02.2013 | Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | Nr.

bergang: Die nchste Technik nennt sich Causation.5. Februar 2013| | 15

Causation3. Verhaltens-basierte Detektionstechniken mit BeispielenQuelle: http://www.jacobdemolay-blog.de/wp-content/uploads/2012/07/Ursache-Wirkung.jpg http://csrc.nist.gov/nissc/1996/papers/NISSC96/paper065/GRIDS.PDFAnnahme: Verbindung verursacht neue Verbindung/enlteste Technik (erstmals 1996 Staniford-chen et al.)Oft basierend auf Graphen(Wurmverbreitung = baumartig)

Korrelation von Verbindungs-attributen(Quelle, Ziel, Ports)oder Payload (Nachteil bei Polymorphie)

07.02.2013 | Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | Nr.

bergang: Ein klassisches Beispiel ist der DSC Detektor5. Februar 2013| | 16

DSC (Destination Source Correlation):Gu et al. 2004setzt ausgehende Verbindungen, auf einen bestimmten Port, eines Hosts, in Beziehung zu eingehenden Verbindungen alarmiert bei Grenzwertberschreitung aus