Search and Find
Service
Vorwort
7
Inhaltsverzeichnis
9
Abkürzungsverzeichnis
12
1 Einleitung
14
2 IT-Sicherheit und Intrusion Detection
18
2.1 IT-Sicherheit
18
2.2 Sicherheitsmechanismen
20
2.3 Intrusion-Detection-Systeme
22
2.3.1 Ereigniskomponenten und Audit
22
2.3.2 Analyse- und Datenbankkomponenten
25
2.3.3 Reaktionskomponenten
31
2.4 Fazit
32
3 Missbrauchserkennung
34
3.1 Systemmodell und Informationsarten
35
3.2 Aktuelle Herausforderungen
38
3.2.1 Fehlalarme
39
3.2.2 Effiziente Erkennung
40
3.2.3 Fazit
41
4 Beispiele
42
4.1 Beispielumgebung Solaris
42
4.1.1 Schwachstellen
42
4.1.2 Audit-Funktion
44
4.2 Beispielattacken
45
4.2.1 Login-Attacke
46
4.2.2 PATH-Attacke
48
4.2.3 Link-Attacke
50
4.2.4 Nebenläufige Link-Attacke
52
5 Semantische Aspekte von Angriffssignaturen
54
5.1 Aktive Datenbanksysteme
55
5.1.1 Ereignisse in aktiven Datenbanken
55
5.1.2 Unterschiede zum Signaturkonzept
56
5.2 Ereignisse – Begriffseinführung
57
5.3 Dimensionen der Semantik von Signaturen
62
5.4 Ereignismuster
64
5.4.1 Typ und Reihenfolge
65
5.4.2 Häufigkeit
66
5.4.3 Kontinuität
69
5.4.4 Nebenläufigkeit
69
5.4.5 Kontextbedingungen
70
5.5 Selektion der Schrittinstanzen
70
5.6 Konsum von Schrittinstanzen
72
5.6.1 Aktionsfolgen und Aktionssemantik
73
5.6.2 Auswahl von Schrittkombinationen
73
5.6.3 Schrittkombinationen
75
5.7 Zusammenfassung
78
6 Modell für Angriffssignaturen
80
6.1 Signaturnetze – Das allgemeine Modell
80
6.2 Modellierungselemente im Detail
82
6.2.1 Plätze
82
6.2.2 Transitionen
83
6.2.3 Kanten
85
6.2.4 Token
85
6.2.5 Schaltregel
88
6.2.6 Charakteristische Netztopologien
93
6.3 Eine Beispielsimulation
99
6.4 Formale Definition eines Signaturnetzes
102
6.5 Ausdrucksstärke
111
6.5.1 Ereignismuster
111
6.5.2 Instanzselektion
119
6.5.3 Instanzkonsum
119
6.6 Verwandte Ansätze
121
6.6.1 Automatenbasierte Signaturmodellierung
121
6.6.2 Graphenbasierte Signaturmodellierung
123
6.6.3 Netzbasierte Signaturmodellierung
123
6.7 Zusammenfassung
124
7 Beschreibung von Angriffssignaturen
126
7.1 Signaturentwicklung
126
7.2 Regelbasierte Signaturbeschreibung
128
7.2.1 Expertensysteme
129
7.2.2 Expertensystembasierte Missbrauchserkennung
130
7.2.3 Probleme expertensystembasierter Missbrauchs-erkennung
132
7.2.4 Regelbasierte Signaturbeschreibung
136
7.3 SHEDEL – Eine einfache ereignisbasierte Beschreibungssprache
136
7.3.1 Beschreibungselemente von SHEDEL
137
7.3.2 Beispiele
140
7.3.3 Diskussion
144
7.4 EDL
145
7.4.1 Basiskonzepte
145
7.4.2 Beispiel
152
7.4.3 Diskussion
154
7.5 Alternative Beschreibungszugänge
155
7.6 Zusammenfassung
157
8 Analyseverfahren
160
8.1 Stand der Technik
161
8.1.1 Abbildung in separate Programm-Module
161
8.1.2 Expertensystembasierte Analysen
164
8.2 Optimierungsstrategien
172
8.2.1 Strategie 1: Ereignistypbasierte Transitionsindizierung
172
8.2.2 Strategie 2: Tokenunabhängige Prüfung von Intra-Ereignis-Bedingungen
173
8.2.3 Strategie 3: Wertebasierte Tokenindizierung
174
8.2.4 Strategie 4: Gemeinsame Ausdrücke
177
8.2.5 Strategie 5: Kostenbasierte Bedingungspriorisierung
178
8.2.6 Diskussion
179
8.3 Das Analysewerkzeug SAM
181
8.4 Experimentelle Evaluierung
183
8.4.1 Testszenario
184
8.4.2 Vorgehensweise und Messumgebungen
189
8.4.3 Messergebnisse und Diskussion
190
8.5 Zusammenfassung
195
9 Zusammenfassung und Ausblick
198
10 Anhang
200
10.1 Signatur der nebenläufigen Link-Attacke in EDL
200
Index
206
Literatur
210
All prices incl. VAT