ACCEPT

Anomaliemanagement in Computersystemen durch Complex Event Processing Technologie

Das übergeordnete Ziel des Projeks ACCEPT ist die Entwicklung eines neuen Ansatzes zur Erkennung, Analyse und Behandlung von sicherheitsrelevanten Anomalien in virtualisierten Rechnersystemen. Die zu erkennenden und behandelnden Anomalien sollen sich sowohl auf bekannte, als auch auf unbekannte Sicherheitsprobleme beziehen und insbesondere die speziellen Gefährdungen virtualisierter Rechnersysteme berücksichtigen.

In nicht virtualisierten Rechnersystemen wird die Erkennung von Anomalien entweder mit klassischen „Intrusion Detection/Prevention Systemen“ (IDS/IPS) oder in umfassenderer Weise mit Systemen zum „Security Information and Event Management“ (SIEM) durchgeführt. Sicherheitsrelevante Ereignisse sollen in dem Vorhaben vertrauenswürdig, minimal-invasiv und skalierbar auf verschiedenen Ebenen eines virtualisierten Rechnersystems beobachtet und gesammelt werden. Hierzu werden adäquate Sensoren im Hypervisor, den VMs und den Ausführungsumgebungen für Anwendungen installiert, die deren Aktivitäten während ihrer Ausführung erfassen.

Die Abstraktion, Korrelation und Aggregation der Ereignisse erfolgt horizontal in und vertikal über die genannten Virtualisierungsebenen durch die Adaption der vielversprechenden Querschnittstechnologie des Complex Event Processing (CEP). Die Erkennung von Anomalien basiert einerseits auf der Nutzung von Erkenntnissen aus existierenden Sicherheitsvorfällen und andererseits auf dem Vergleich des Ausführungsverhaltens von „Malware“ und „normaler“ Software unter Verwendung eines adäquaten Konzepts zur Verhaltenskonformität. Basierend auf den daraus gewonnenen Ergebnissen kann das System selbständig und intelligent handeln, d.h. Angriffe abwehren und potentielle Sicherheitslücken schließen. Zusätzlich werden Methoden des maschinellen Lernens „offline“ auf archivierten Ereignisdaten eingesetzt, um die Qualität der Ergebnisse durch Auswertung der archivierten Daten über die Zeit zu verbessern.

Insgesamt entsteht also ein virtualisiertes Rechnersystem, das mit dem Etikett „Anomaly Management inside“ versehen werden kann. Auftretende Anomalien werden dabei frühzeitig erkannt, um einerseits den daraus resultierenden Schaden zu minimieren und andererseits über eine Vielzahl von Handlungsoptionen für Gegenmaßnahmen zu verfügen.

Kontakt

Herr Prof. Dr. Bernhard Seeger
Fachbereich Mathematik und Informatik

Hans-Meerwein-Str.
Philipps-Universität Marburg
35032 Marburg
E-Mail