Das Erkennen von Angriffen auf große administrative Netzdomänen, z.B. ein Unternehmensnetz bestehend aus mehreren Subnetzen, geschieht heutzutage i.d.R. zentralisiert, indem Datenverkehr am Uplink zum Internet analysiert wird. Dies gestattet es, Angriffe aus dem Internet zu erkennen, birgt jedoch entscheidende Nachteile in sich. Insider-Angriffe können, unabhängig davon, ob sie gezielt initiiert oder von kompromittierten (privaten) Geräten ausgelöst werden, nicht erkannt werden. Ein netzübergreifendes verteiltes Monitoring wäre eine zweckmäßige Alternative zu etablierten Verfahren, stößt jedoch auf eine Reihe bisher ungelöster Probleme:1. Das Datenaufkommen in den Subnetzen ist sporadisch sehr hoch und häufig stark schwankend (z.B. Last-Peaks von bis zu 10 Gbit/s).2. Die hohen Datenraten zusammen mit den typischerweise eingesetzten Standardkonfigurationen für Monitoringverfahren implizieren i.d.R. hohe Fehlalarmraten.3. Der Datenverkehr wird zunehmend verschlüsselt und entzieht sich traditionellen Analysemethoden.4. Die verstärkte Nutzung von Virtualisierungstechniken, z.B. virtuelle Maschinen/Netze, schafft Bereiche, die dem Monitoring nicht zugänglich sind.Für das Sicherheits-Monitoring werden bisher, i.d.R. getrennt, Flow-Aggregation und Deep Packet Inspection (DPI) eingesetzt. Die Flow-Analyse betrachtet bisher nur Accounting-Informationen bis zur Transportschicht. Durch neue Technologien wie virtuelle Netze werden die Transportschicht-Informationen in der Flow-Aggregation verwässert, da zum Teil gleiche IP-Adressen für unterschiedliche Systeme stehen. Darüber hinaus erschweren neue Protokolle wie HTTP/2 die Analyse, da oftmals weiterer Kontext (z.B. Einzelverbindung, Multiplexing) fehlt. Ebenso läuft die DPI oft ins Leere, weil dieser keine Kontextinformationen über die beobachtete Anwendung zur Verfügung stehen.Im beantragten Forschungsvorhaben sollen die Verfahren der Flow-Aggregation und der DPI komplementär eingesetzt werden. Schwerpunkte der Untersuchungen sind eine signifikante Reduzierung des an einem Messpunkt zu analysierenden Datenaufkommens, die Prüfung der Sinnfälligkeit von Alarmen, das Monitoring von Datenflüssen auch in virtuellen Umgebungen, Analysen kryptographischen Verkehrs, um auf die unterstützten Anwendungen und verwendeten Protokolle zu schließen, und Verfahren zur kooperativen Analyse innerhalb der administrativen Domäne. Zu den zu lösenden Problemen gehören u.a. eine genaue Anwendungserkennung für die DPI einschließlich verwendeter Protokolldialekte, um die Signaturbasen dynamisch an den jeweiligen Kontext anpassen zu können, die performante Aggregation von sicherheitsrelevanten Informationen aus der Anwendungsschicht zu AppFlows, um Analyseverlagerungen zu ermöglichen, die Aggregation von Informationen unterhalb der Vermittlungsschicht, um virtuelle Systeme in das Monitoring zu integrieren und die Extraktion von Parametern aus TLS-Handshakes, um Probleme mit veralteten Kryptoverfahren zu erkennen.

DFG-Verfahren Sachbeihilfen