Intelligente Programme schützen Computerumgebung
Früher hat man ein Verbrechen mit einem Dieb assoziiert, der in ein Haus oder ein Auto einbricht. Heutzutage sind Computer des Verbrechers bester Freund. Ob nun aus dem Haus gegenüber oder aus 500 km Entfernung - dank moderner Technik ist es Verbrechern ein Leichtes, in die Privatsphäre von anderen einzudringen. Forscher von der Universität Carlos III zu Madrid (UC3M) in Spanien haben ein System entwickelt, mit dem nicht nur Angriffe per Computer erkannt werden können, sondern auch gleich eine automatische Reaktion ausgelöst wird. Angrifferkennungssysteme (IDS - Intrusion detection systems) sind Sicherheits-Tools, mit denen Computersysteme überwacht werden, um verdächtige Ereignisse zu erkennen. Bei dem neuen Tool handelt es sich um ein "Multiagentensystem", das aus koordinierten unabhängigen Agenten besteht, die bezüglich verschiedener Softwareattribute wie Vorhersagbarkeit und Anpassbarkeit zusammenwirken. Zur Vereitlung von Angriffen macht das Tool die jeweiligen Ereignisse in wirkungsvoller Weise ausfindig und stellt automatisch fest, ob Maßnahmen ergriffen werden müssen. "Beide Eigenschaften sind in einem IDS wertvoll", erklärt Professor Agustin Orfila vom UC3M-Institut für Informatik. Derzeit verfügbare Informationen weisen darauf hin, dass Spanien nicht leisten kann, wozu viele andere Länder in der Lage sind: erweiterte Untersuchungen zu Multiagentenarchitekturen für IDS durchzuführen. Bei dieser Studie versuchte das spanische Team Prüfagenten einzusetzen, die sich an ihre Umgebungen anpassen und vergangene Erfolge unabhängig voneinander berücksichtigen können. Auf diese Weise könne festgestellt werden, ob bei einem verdächtigen Ereignis tatsächlich eine Reaktion erforderlich sei, so die Forscher. Dies werde durch die Verwendung eines "quantitativen Modells, das die möglichen Verluste eines Angriffs gegen den Aufwand einer auszuführenden Maßnahme abwägt, möglich", erläutert Professor Orfila. Das Ergebnis: Der IDS-Multiagent findet heraus, welche Systemkonfiguration bei welchem Ereignis zu verwenden ist, und entscheidet über die Notwendigkeit einer Reaktion. So wird die IDS-Unterstützung der getroffenen Entscheidung quantitativ ermittelt. Untersuchungen haben ergeben, dass Angriffe am häufigsten in Form von "Port Scans" (d.h. durch Suchen nach offenen Ports) und Denial-of-Service vorgenommen werden. Hacker können dann unbeschränkten Zugang zu Zielcomputern erhalten und versuchen, aus der Ferne auf sie zuzugreifen, meinen Experten. Vom National Institute of Standards and Technology in den USA heißt es: "Bei der Angriffserkennung handelt es sich um ein Verfahren, mit dem die unbefugte Benutzung eines Computers oder Netzwerks bzw. der Angriff auf ein solches System erkannt werden. IDS sind Software- oder Hardwaresysteme, die einen solchen Missbrauch erkennen." Ein Agent solle über Leistungsmerkmale wie Anpassungs- und Reaktionsfähigkeit verfügen, hebt Professor Orfila hervor, und sogar in der Lage sein, eine Person zu repräsentieren. "Auf diese Weise können wir dank der IDS-Multiagentenarchitektur die Erkennungslast aufteilen und den Prozess besser koordinieren, sodass wir eine wirksamere Erkennungsleistung erhalten", fügt er hinzu. Die besten Kandidaten für den Einsatz des Systems wären Sicherheitsadministratoren, denn "damit wären sie in der Lage, den Wert zu beziffern, den ein IDS seinen Entscheidungen zuordnet. Darüber hinaus würde damit auch angezeigt, wie das IDS angemessen auf seine Umgebung einzustellen ist", erläutert Professor Orfila. Die Forscher weisen jedoch darauf hin, dass das IDS an den Traffic des realen Netzwerks angepasst werden müsste, um wirksam eingesetzt werden zu können. Das System müsste auch auf die individuellen Sicherheitsbedingungen abgestimmt werden, und sein Nutzen wäre in dieser realen Umgebung erst einmal zu bewerten. Diese Studie wurde im Magazin Computer Communication veröffentlicht.
Länder
Spanien