Vorträge und Posterpräsentationen (mit Tagungsband-Eintrag):
T. Toth, C. Krügel:
"Evaluating the Impact of Automated Intrusion Response Mechanisms";
Vortrag: 18th Annual Computer Security Applications Conference,
Las Vegas, Nevada;
09.12.2002
- 13.12.2002; in: "Proceedings 18th Annual Computer Security Applications Conference",
(2002),
S. 301
- 310.
Kurzfassung deutsch:
Intrusion Detection Systeme (IDSs) haben mittlerweile ein hohes
Niveau erreicht und können Attacken mittels einer Reihe von Methoden
entdecken. Unglücklicherweise können Systemadministratoren weder mit
der Geschwindigkeit, mit der Attacken gemeldet werden, mithalten,
noch können sie auf diese innerhalb akzeptabler Zeiten reagieren.
Automatische Response Systems müssen diese Aufgabe übernehmen. Wenn
ein Eindringling entdeckt worden ist, dann führen diese Komponenten
eine angemessene Abwehrmassnahme durch um die Gefahr abzuwenden.
Heutige Intrusion Response Systems (IRSs) benutzen einfache Tabellen
um eine entsprechende Massnahme zu bestimmen. Das Problem dabei ist
die Inflexibilität der Methode. Gegenmassnahmen (wie zum Beispiel
Änderungen an der Firewall) können nicht nur gegen die Attacke
schützen, da sie auch negative Effekte auf normale Benutzer und
Dienste haben können. Um die Situation zu verhindern, in der eine
Abwehrmassnahme mehr Schaden als Nutzen hat, ein ist ein Mechanismus
notwendig, der Schaden und Nutzen gegeneinander abwägt. In diesem
Artikel präsentieren wir ein Netzwerkmodell und einen Algorithmus um
die Effekte von Gegenmassnahmen auf die Nutzbarkeit des Netzwerks
abzuschätzen. Das erlaubt einem IRS, die Gegenmassnahme mit dem
geringsten Schaden aus Alternativen auszuwählen.
Kurzfassung englisch:
Intrusion detection systems (IDSs) have reached a high level of
sophistication and are able to detect intrusions with a variety of
methods. Unfortunately, system administrators neither can keep up
with the pace that an IDS is delivering alerts, nor can they react
upon these within adequate time limits. Automatic response systems
have to take over that task. In case of an identified intrusion,
such components have to initiate appropriate actions to counter
emerging threats. Most current intrusion response systems (IRSs)
utilize static mappings to determine adequate response actions in
reaction to detected intrusion. The problem with this approach is
its inherent inflexibility. Countermeasures (such as changes of
firewall rules) often do not only defend against the detected attack
but may also have negative effects on legitimate users of the
network and its services. To prevent the situation that a response
action causes more damage that the actual attack, a mechanism that
compares the severity of an attack to the effects of a response
mechanism is needed. In this paper, we present a network model and
an algorithm to evaluate the impact of response actions on the
entities of a network. This allows the IRS to select a response
among several alternatives which fulfills the security requirements
and has a minimal negative effect on legitimate users.
Elektronische Version der Publikation:
http://www.infosys.tuwien.ac.at/reports/repository/TUV-1841-2002-41.ps
Erstellt aus der Publikationsdatenbank der Technischen Universität Wien.