Institut für Telematik
Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Endvortrag Diplomarbeit, 08.11.2007Christoph Mayer
Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Christoph Mayer Institut für TelematikUniversität Karlsruhe (TH) www.tm.uka.de
1
Motivation
DDoS- und Wurmangriffe sind die größten Gefahren, die zur Zeit das Internet bedrohen
(Worldwide Infrastructure Security Report 2007, Arbor Networks)
Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Christoph Mayer Institut für TelematikUniversität Karlsruhe (TH) www.tm.uka.de
2
Anforderungen
SkalierbarkeitBetrieb im Netzinneren auf VermittlungssystemenHohe Verkehrslast, geringe Ressourcen
ErweiterbarkeitNeue ProtokolleNeue Methoden zur Angriffserkennung
FlexibilitätVerschiedene LaufzeitumgebungenBaukastenprinzip
RobustheitVermeidung von ÜberlastProtokoll-Parser
Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Christoph Mayer Institut für TelematikUniversität Karlsruhe (TH) www.tm.uka.de
3
Ziel
Flexibles Framework zur verteilten AngriffserkennungBaustein-basiert (Module), flexibel konfigurierbar
Einfache Schnittstellen: Integration von ErweiterungenNeue Protokolle, Methoden zur AngriffserkennungNeue Komponenten (GUI, ...)
Verschiedene LaufzeitumgebungenRouter, PC, Simulator, Sensorknoten, Netzwerkprozessor, ... Laufzeitumgebung transparent für Module
OnlineOffline
LokalVerteilt
AngriffserkennungVerkehrsanalyse
Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Christoph Mayer Institut für TelematikUniversität Karlsruhe (TH) www.tm.uka.de
4
Architektur
Commu-nication
Remote Messaging
UtilitiesModuleManager
XML-based Configuration
Level based
Logging
Conversion
Timer
Structures
StringOperations
...
RoutingTable
Frame distribution systemChannelManager
MessagingSystemProtokoll-P
arser
Channel
Channel
...
Channel
NetworkManager
OMNeT++ NS2 Libpcap/WinPcap
NetworkInterface
FrameBuffer – reader thread
...
SerializationDeserialization
DestinationsSources
Sockets API
GIST-KA
...
Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Christoph Mayer Institut für TelematikUniversität Karlsruhe (TH) www.tm.uka.de
5
Architektur – Netzwerkabstraktion
Commu-nication
Remote Messaging
UtilitiesModuleManager
XML-based Configuration
Level based
Logging
Conversion
Timer
Structures
StringOperations
...
RoutingTable
Frame distribution systemChannelManager
MessagingSystemProtokoll-P
arser
SerializationDeserialization
DestinationsSources
Sockets API
GIST-KA
...
Channel
Channel
...
Channel
NetworkManager
OMNeT++ NS2 Libpcap/WinPcap
NetworkInterface
FrameBuffer – reader thread
...
Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Christoph Mayer Institut für TelematikUniversität Karlsruhe (TH) www.tm.uka.de
6
Netzwerkabstraktion
Abstraktion des unterliegenden NetzesPaketformate, notwendige KonvertierungAbhängig von der Laufzeitumgebung
Abfangen von BurstsZwischenspeicher für FramesBegrenzungsmechanismen
NetworkInterface
FrameBuffer – reader thread
NetworkInterface-Implementierung
NS2OMNeT++ Libpcap/WinPcap ...
Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Christoph Mayer Institut für TelematikUniversität Karlsruhe (TH) www.tm.uka.de
7
Architektur – Module
Commu-nication
NetworkManager
Remote Messaging
UtilitiesModuleManager
XML-based Configuration
Level based
Logging
Conversion
Timer
Structures
StringOperations
...
RoutingTable
Frame distribution systemChannelManager
MessagingSystemProtokoll-P
arser
SerializationDeserialization
DestinationsSources
Sockets API
GIST-KA
...OMNeT++ NS2 Libpcap/WinPcap
NetworkInterface
FrameBuffer – reader thread
...
Channel
Channel
...
Channel
Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Christoph Mayer Institut für TelematikUniversität Karlsruhe (TH) www.tm.uka.de
8
Module – funktionale Einheiten
Modularisierung: Module als BausteineKlein und leichtgewichtigIn dynamische Bibliotheken ausgelagert
Modul-FunktionalitätSampling/Filtering/Überwachung von FramesSammeln von statistischen Daten, Analyse
ChannelsFunktionale Kette von ModulenVerarbeitung von NetzwerkframesGruppierung von zusammengehörigen ModulenGranularitätsstufen
Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Christoph Mayer Institut für TelematikUniversität Karlsruhe (TH) www.tm.uka.de
9
Architektur – Lokale Kommunikation
Commu-nication
NetworkManager
Remote Messaging
UtilitiesModuleManager
XML-based Configuration
Level based
Logging
Conversion
Timer
Structures
StringOperations
...
RoutingTable
Frame distribution systemChannelManager
Protokoll-P
arser
Channel
Channel
...
Channel
SerializationDeserialization
DestinationsSources
Sockets API
GIST-KA
...OMNeT++ NS2 Libpcap/WinPcap
NetworkInterface
FrameBuffer – reader thread
...
MessagingSystem
Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Christoph Mayer Institut für TelematikUniversität Karlsruhe (TH) www.tm.uka.de
10
Lokale Kommunikation
Datenzentrierte Kommunikation zwischen Modulen
Informationsquellen nicht bekanntDaten werden in das System gesendetSynchrone/asynchrone Nachrichtenzustellung
Registrierungs-basiertModul registriert sich für interessante Nachrichten
Beispiel: Statistische VerteilungAnalyse-Modul sammelt Daten zu einer statistischen VerteilungSendet diese Verteilung periodische ausInteressierte Module registrieren sich und erhalten die Nachricht
Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Christoph Mayer Institut für TelematikUniversität Karlsruhe (TH) www.tm.uka.de
11
Architektur – Verteilte Kommunikation
NetworkManager
UtilitiesModuleManager
XML-based Configuration
Level based
Logging
Conversion
Timer
Structures
StringOperations
...
RoutingTable
Frame distribution systemChannelManager
MessagingSystemProtokoll-P
arser
Channel
Channel
...
Channel
OMNeT++ NS2 Libpcap/WinPcap
NetworkInterface
FrameBuffer – reader thread
...
Commu-nication
Remote MessagingSerialization
Deserialization
DestinationsSources
Sockets API
GIST-KA
...
Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Christoph Mayer Institut für TelematikUniversität Karlsruhe (TH) www.tm.uka.de
12
Verteilte Kommunikation
Kommunikation zwischen entfernten ModulenTransparenter Nachrichtenversand und EmpfangBeliebig komplexe Nachrichtenobjekte
SerialisierungNachrichtenobjekte serialisieren und deserialisierenKeine Paketformate notwendig
Adressierung durch VersandoptionenLokal, entfernt, lokal + entferntEmpfängerliste, Nachbarn
DatenübertragungAustauschbare KommunikationsschichtGIST, Sockets-API, ...
Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Christoph Mayer Institut für TelematikUniversität Karlsruhe (TH) www.tm.uka.de
13
NetworkManager
OMNeT++ NS2 Libpcap/WinPcap
NetworkInterface
FrameBuffer – reader thread
...
Architektur – Konfiguration
Commu-nication
Remote Messaging
UtilitiesModuleManager
Level based
Logging
Conversion
Timer
Structures
StringOperations
...
RoutingTable
Frame distribution systemChannelManager
MessagingSystemProtokoll-P
arser
SerializationDeserialization
DestinationsSources
Sockets API
GIST-KA
...
Channel
Channel
...
Channel
XML-based Configuration
Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Christoph Mayer Institut für TelematikUniversität Karlsruhe (TH) www.tm.uka.de
14
XML-basierte Konfiguration
AllgemeinNetzwerk, Tracedatei, Speedup, ...
Baustein-KonfigurationInstanziierung und Konfiguration von Modul-BibliothekenMehrfache Instanziierung einer Bibliothek
BaukastenprinzipVerschaltung von Modulen zu ChannelsChannel definiert zusammengehörige FunktionalitätWeitere Gruppierung von Channels
Granularirätsstufen
Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Christoph Mayer Institut für TelematikUniversität Karlsruhe (TH) www.tm.uka.de
15
XML-basierte Konfiguration – Beispiel
<module name="Modules"><submodule lib ="ModuleSamplingSystematicCountBased"
name ="SamplingItemOne"><configitem name="SamplingCount">200</configitem><configitem name="SelectionCount">1</configitem>
</submodule>...
</module>
<module name="Channels"><submodule name="StageOne" stage="1"><configitem name="1">SamplingItemOne</configitem><configitem name="2">...</configitem>
</submodule>...
</module>
Externe Bibliothek Lokaler Name
Modul-Konfiguration
Channel GruppeChannel Name
Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Christoph Mayer Institut für TelematikUniversität Karlsruhe (TH) www.tm.uka.de
16
Evaluation – Skalierbarkeit
SystemaufbauSystemA: Abspielen einer NetzwerktraceSystemB: Betreibt Framework, BasisfunktionalitätRealistischer Verkehr, 100 MBit/s Ethernet
Netzwerktrace
SystemBFramework
SystemATcpreplay
Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Christoph Mayer Institut für TelematikUniversität Karlsruhe (TH) www.tm.uka.de
17
Verarbeitung von 100 MBit/s kein Problem
Evaluation – Skalierbarkeit
Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Christoph Mayer Institut für TelematikUniversität Karlsruhe (TH) www.tm.uka.de
18
CPU- und Speicherlast akzeptabel
Evaluation – Skalierbarkeit (2)
Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Christoph Mayer Institut für TelematikUniversität Karlsruhe (TH) www.tm.uka.de
19
Evaluation – Flexibilität
OMNeT++ als LaufzeitumgebungKapselung der main-Funktion als cSimpleModuleFramework als Bibliothek von OMNeT++ geladenNetwerkabstraktion für OMNeT++
StolpersteineThreads: bekommen keine ProzessorzeitTimer: Zeitdomäne der SimulationszeitPakete: andere Darstellung in OMNeT++...
ResultatLokale und verteilte Angriffserkennung in großen NetzenSimulation von DDoS- und Wurmangriffen
Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Christoph Mayer Institut für TelematikUniversität Karlsruhe (TH) www.tm.uka.de
20
Evaluation – Erweiterbarkeit
Integration einer AngriffserkennungExtraktion der Aufgaben Zerteilung in ModuleErstellung von Nachrichten für KommunikationKonfiguration gruppiert Module und definiert Granularitätsstufen
VorteileMenge an Bausteinen WiederverwendbarkeitVerschiedenen Laufzeitumgebungen
Z. B. Simulation in OMNeT++Erweiterbarkeit
Verteilte Kommunikation leicht integrierbarModule einfach austauschbarNeue Funktionalität durch Module integrierbar
Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Christoph Mayer Institut für TelematikUniversität Karlsruhe (TH) www.tm.uka.de
21
Simulation der Angriffserkennung
Simulation verteilter Angriffe in OMNeT++Realistische Topologie, selbstähnlicher VerkehrFramework mit Angriffserkennung auf Core-Router150 DDoS-Zombies auf EndsystemenOpfersystem auf Endsystem
3 Core-Router9 Gateway-Router113 Edge-Router3257 Endsysteme
Framework zur Anomalie-basierten Angriffserkennung durch verteilte Instanzen
Christoph Mayer Institut für TelematikUniversität Karlsruhe (TH) www.tm.uka.de
22
Zusammenfassung und Ausblick
Framework zur verteilten AngriffserkennungEinfache Integration von neuer FunktionalitätLokale und verteilte KommunikationFlexibel konfigurierbar und einsetzbarVerschiedene Laufzeitumgebungen
AusblickGrafische OberflächeWeitere Laufzeitumgebungen, z. B. SensorknotenMethoden zur lokalen und verteilten AngriffserkennungSimulation von verteilter Angriffserkennung in großen Netzen