Navigationsbereich

04.07.2011

Mehr Sicherheit im Internet durch Maschinelles Lernen zur Einbruchserkennung

Viele Werkzeuge zur Verhütung von Einbrüchen in Computer verhindern nur solche Einbruchsversuche, deren Technik sie kennen und gegen die sie "geimpft" sind. Neue Techniken können solche Systeme leicht überrumpeln. Besser wäre ein System, das Aufbau und Inhalte von Datenpekten an einer Firewall durch Verdachtsmerkmale filtert und auch unbekannte, aber verdächtige Aktivitäten bemerkt und anzeigt. Ein solches System ist REMIND, das mit Merkmalsregeln arbeitet und aus Datenanomalien lernt, neue Angriffe in Echtzeit zu erkennen und zu filtern. Das Projekt REMIND gehörte zu den Finalisten des IT-Sicherheitspreises 2010.

Die kommerzielle und private Nutzung des Internets wächst rasant und mit ihr das Bedürfnis nach Sicherheit. Angriffe aus dem Internet verursachen bei Privatpersonen und vor allem Unternehmen erhebliche finanzielle Schäden. Passive Techniken zum Schutz vor Angriffen auf Computersysteme, wie Firewalls, Virtual-Private-Networks, Authentifizierungs- und Verschlüsselungstechniken, reichen immer weniger aus, um einen adäquaten Schutz in modernen, sich dynamisch ändernden Netzwerktechnologien zu leisten. Intrusion-Detection-Systeme (IDS) erkennen ungewöhnliche Netzwerkpakete bzw. -verbindungen, die auf Angriffe auf das Computersystem oder dessen Missbrauch schließen lassen. Herkömmliche IDS vereint dennoch ein wesentlicher Nachteil: Damit sie verschiedene Angriffe erkennen können, muss ihnen vorab deren Signatur "eingeimpft" werden. Die Folge ist, dass neuartige Eindringlinge erheblichen Schaden im System verursachen können, bevor sie überhaupt von den Sicherheitsmechanismen als Gefahr erkannt werden.

In dem vom BMBF mit 2,4 Mio. Euro geförderten Projekt "MIND - Maschinelles Lernen für Intrusion Detection" wurde daher in den letzten drei Jahren unter Leitung des Fraunhofer-Institut für Rechnerarchitektur und Softwaretechnik FIRST in Zusammenarbeit mit Siemens AG, der IT Service Omikron GmbH, dem St. Petersburg Institut für Informatik der Russischen Akademie der Wissenschaften und der idalab GmbH eine neue IDS-Technik entwickelt, die in der Lage ist, auch bisher unbekannte Angreifer zu erkennen. Mit Methoden des maschinellen Lernens werden große Mengen von heterogenen Datenströmen analysiert und klassifiziert. Das entwickelte IDS lernt anhand von Beispieldaten, normale von anormalen Netzaktivitäten zu unterscheiden.

Die im Projekt entwickelten Lernalgorithmen leiten aus Daten eine allgemeine Darstellung von normalen Daten ab. Dadurch, dass neuartige Angriffe notwendigerweise unübliche Eigenschaften besitzen, werden sie als Anomalien erkannt. Evaluierungen dieser Algorithmen haben gezeigt, dass bis zu 90 Prozent der Angriffe erkannt werden, bei minimaler Anzahl der Fehlalarme.

In dem 2007 begonnenen Folgeprojekt REMIND wird dieses Lernen in Echtzeit realisiert, wodurch ein Intrusion Detection System aus der Erkennung von Angriffen sein Überwachungsverhalten schnellstens anpassen kann.

Das IDS nimmt sowohl den Aufbau als auch den Inhalt der Daten unter die Lupe und filtert dabei aus der riesigen Menge der Merkmale diejenigen heraus, die zur Erkennung von Anomalien relevant sind. Darüber hinaus ist das System in der Lage, aus den Byteströmen strukturierte Merkmale zu extrahieren, welche die Syntax und  die Semantik der zugrunde liegenden Protokolle verkörpert. Durch die Verwendung solcher strukturierten Merkmale können sicherheitsrelevante Expertenkenntnisse, wie z.B. spezielle Protokollgrammatiken, mit den Detektionsalgorithmen verbunden werden, was die Genauigkeit von Detektion wesentlich erhöht. Mit dieser Analyse von Daten verschiedener Nachrichtenkanäle ist es REMIND möglich, auch neuartige Bedrohungen in Echtzeit zu erkennen und darauf zu reagieren, um die Computersysteme zu schützen.

REMIND ist in der Runde der letzten 10 Projekte, die am 25. November im Finale des IT-Sicherheitspreises 2010 stehen.

Zusatzinformationen