Detailseite
EvIDencE: Testen von Systemen zur Angriffserkennung in virtualisierten Umgebungen
Antragsteller
Professor Dr.-Ing. Samuel Kounev
Fachliche Zuordnung
Sicherheit und Verlässlichkeit, Betriebs-, Kommunikations- und verteilte Systeme
Förderung
Förderung von 2016 bis 2020
Projektkennung
Deutsche Forschungsgemeinschaft (DFG) - Projektnummer 289129390
Das Interesse an Virtualisierung ist in den vergangenen Jahren deutlich gestiegen. Sowohl in Industrie als auch Forschung gilt Virtualisierung als Ansatz, die Flexibilität und Kosteneffizienz von IT-Infrastrukturen zu verbessern. Neben vielen Vorteilen bringt Virtualisierung allerdings auch neue Herausforderungen mit sich, z.B. zusätzliche Bedrohungen auf Ebene des Virtual Machine Monitors (VMMs) sowie durch die Belegung einzelner Server durch möglicherweise mehrere Virtuelle Maschinen (VMs). Sicherheit wird häufig als Hauptproblem für die Benutzung von modernen virtualisierten Service-Infrastrukturen genannt, weil die zusätzliche Virtualisierungsschicht neue Angriffsziele bietet. Intrusion Detection Systems (IDSes) sind eine erprobte Schutzmaßnahme gegen Sicherheitsbedrohungen, was zu ihrer Weiterentwicklung mit Fokus auf virtualisierten Umgebungen geführt hat. Jedoch gibt es bis heute weder Verfahren noch Techniken, um zuverlässig und unter realistischen Bedingungen festzustellen, wie gut sich ein bestimmtes IDS für eine Virtualisierungsumgebung eignet. Zur Minimierung von Sicherheitsverstößen ist ein solches Verfahren jedoch unabdingbar. Der vorgelegte Projektantrag EvIDencE schlägt eine umfangreiche Forschungsagenda zur Lösung dieses Problems vor. Durch die Entwicklung eines Ansatzes zur Generierung virtualisierungsspezifischer bösartiger Arbeitslast sowie von Metriken und Messverfahren sollen moderne IDSes für ihren Einsatzzweck nach strengen und repräsentativen Kriterien getestet werden. Für die Umsetzung dieser Ziele sind neuartige Methoden für die künstliche Erzeugung bösartiger Arbeitslast, die virtualisierungsspezifische Schwachstellen ausnutzt, notwendig, um sie gezielt als Angriffe gegen VMMs nutzen zu können. Des Weiteren sind neuartige Metriken zur Quantifizierung der Erkennungsgenauigkeit von Angriffen notwendig, welche explizit das Verhalten von Mechanismen zur dynamischen Ressourcenallokation von VMMs berücksichtigen, da dieses Verhalten in der Regel signifikanten Einfluss auf das untersuchte IDS hat.Das vorgeschlagene Projekt hat zum Ziel, das repräsentative Testen von IDSes zur ermöglichen. Die Beiträge des Projekts sind: i) ein Framework zur Ausführung repräsentativer bösartiger Arbeitslast mit Hilfe von Angriffen auf Hypercall-Ebene, ii) die Definition einer Menge neuer Metriken zum Testen von IDSes, iii) eine wissenschaftlich fundierte Verfahrensweise zum Testen von IDSes. Die zu entwickelnden Technologien sollen Forschern helfen, neuartige IDS-Algorithmen und -Architekturen zu testen um zielgerichtet spezielle Eigenschaften von IDSes zu analysieren. Des Weiteren soll es Entwicklern und Sicherheitsbeauftragten der Industrie die Möglichkeit geben, die Qualität der Erkennung von Angriffen verschiedener IDS-Produkte zu testen und dadurch ein passendes Produkt auszuwählen. Ausserdem können dadurch auch existierende IDS-Installationen geprüft und optimiert, und Sicherheitsbedrohungen minimiert werden.
DFG-Verfahren
Sachbeihilfen