ACCEPT

Anomaliemanagement in Computersystemen durch
Complex Event Processing Technologie

Ziel des Vorhabens

In virtualisierten Rechnersystemen verwaltet ein Virtual Machine Monitor (Hypervisor) die Hardware-Ressourcen der physikalischen Maschine und ermöglicht die Ausführung mehrerer virtueller Maschinen (VM), in denen jeweils eigene Gast-Betriebssysteme laufen, die Ausführungsumgebungen für Anwendungen zur Verfügung stellen. Die steigende Verbreitung dieser Technologie vor allem im Server-Bereich erklärt sich mit ihren Vorteilen hinsichtlich der Aspekte Nutzerseparation, Auslastung, Energieeffizienz und Fehlertoleranz. Allerdings ist die Sicherheit virtualisierter Rechnerplattformen nicht nur durch Angriffe bedroht, die auch auf nicht-virtualisierte Rechnersysteme verübt werden können, sondern zusätzlich durch spezifische Angriffe, die strukturelle Eigenschaften virtualisierter Plattformen ausnutzen.

Das übergeordnete Ziel des Vorhabens ist die Entwicklung eines neuen Ansatzes zur Erkennung, Analyse und Behandlung von sicherheitsrelevanten Anomalien in virtualisierten Rechnersystemen. Die zu erkennenden und behandelnden Anomalien sollen sich sowohl auf bekannte, als auch auf unbekannte Sicherheitsprobleme beziehen und insbesondere die speziellen Gefährdungen virtualisierter Rechnersysteme berücksichtigen. In nicht virtualisierten Rechnersystemen wird die Erkennung von Anomalien entweder mit klassischen „Intrusion Detection/Prevention Systemen“ (IDS/IPS) oder in umfassenderer Weise mit Systemen zum „Security Information and Event Management“ (SIEM) durchgeführt. Allerdings sind die in der Praxis genutzten SIEM-Systeme auf infrastrukturelle Ereignisse beschränkt, erfordern die Einbeziehung menschlicher Entscheider, haben oft eine sehr hohe Anzahl an falschen Alarmen und skalieren aufgrund ihrer zentralisierten Architektur nicht oder nur unbefriedigend mit einer sehr hohen Anzahl von Ereignissen. In dem Vorhaben soll daher ein neuartiges SIEM-System dediziert für virtualisierte Rechnersysteme entwickelt werden, das die Nachteile aktueller SIEM-Systeme vermeidet.

Design

Sicherheitsrelevante Ereignisse sollen in dem Vorhaben vertrauenswürdig, minimal-invasiv und skalierbar auf verschiedenen Ebenen eines virtualisierten Rechnersystems beobachtet und gesammelt werden. Hierzu werden adäquate Sensoren im Hypervisor, den VMs und den Ausführungsumgebungen für Anwendungen installiert, die deren Aktivitäten während ihrer Ausführung erfassen. Die Abstraktion, Korrelation und Aggregation der Ereignisse erfolgt horizontal in und vertikal über die genannten Virtualisierungsebenen durch die Adaption der vielversprechenden Querschnittstechnologie des Complex Event Processing (CEP). CEP erlaubt eine robuste und prädiktive Sicherheitsüberwachung auf allen beteiligten Ebenen, indem „Event Processing Agents“ (EPAs) als kontinuierliche Anfragen an Ereignisströme in nahezu Echtzeit „online“ elementare Ereignisse analysieren und auf Anomalien untersuchen.

Die Erkennung von Anomalien basiert einerseits auf der Nutzung von Erkenntnissen aus existierenden Sicherheitsvorfällen und andererseits auf dem Vergleich des Ausführungsverhaltens von „Malware“ und „normaler“ Software unter Verwendung eines adäquaten Konzepts zur Verhaltenskonformität. Basierend auf den daraus gewonnenen Ergebnissen kann das System selbständig und intelligent instantan handeln, d.h. Angriffe abwehren und potentielle Sicherheitslücken in kürzester Zeit schließen. Zusätzlich werden Methoden des maschinellen Lernens „offline“ auf archivierten Ereignisdaten eingesetzt, um die Qualität der Ergebnisse durch Auswertung der archivierten Daten über die Zeit zu verbessern. Im Idealfall sollen daraus neue EPAs automatisch generiert werden. Sensoren können im Bedarfsfall dynamisch aktiviert bzw. deaktiviert werden, um einerseits selektiv aussagekräftige Elementarereignisse zu bekommen und andererseits die Leistungsfähigkeit des zu überwachenden Systems nicht durch exzessives Monitoring zu beeinträchtigen. Zusätzlich kann mit Methoden der Programmanalyse der Bedarf an Sensoren verringert werden. Darüber hinaus soll es möglich sein, den Detailgrad an Sensordaten in Situationen starker Gefährdungen zur Laufzeit zu variieren.

Die gesamte Analyse-Funktionalität wird durch eine vertrauenswürdige VM bereitgestellt, die die Sensordaten empfängt, verarbeitet und gegebenenfalls Aktionen auslöst. Hierbei wird eine Kombination aus „Out-of-VM Monitoring“ mittels Introspektion und „In-VM Monitoring“ zur Verringerung des typischerweise hohen Aufwandes für Introspektion realisiert. Zur Erhöhung der Verarbeitungsgeschwindigkeit können EPAs als Threads den CPU-Cores einer Multi-Core Architektur zugewiesen werden (Inter-EPA Parallelität) oder die Operatoren eines EPAs werden auf einer GPGPU ausgeführt (Intra-EPA Parallelität).

Anomaly Management inside

Insgesamt entsteht also ein virtualisiertes Rechnersystem, das mit dem Etikett „Anomaly Management inside“ versehen werden kann. Auftretende Anomalien werden dabei frühzeitig erkannt, um einerseits den daraus resultierenden Schaden zu minimieren und andererseits über eine Vielzahl von Handlungsoptionen für Gegenmaßnahmen zu verfügen.