Was sind die Techniken der Anomalieerkennung?
Die Techniken der Anomalieerkennung basieren auf 4 statistischen Modellen, die im Einzelnen vorgestellt werden. Die statistischen Modelle basieren auf dem Denning´s Original Model. Die unterschiedlichen Techniken können teilweise auch bei der Missbrauchserkennung genutzt werden, jedoch liegt in diesem Abschnitt der Fokus auf der Anomalieerkennung und es wird nicht auf die Verwendung der Techniken in der Missbrauchserkennung eingegangen.
Statistische Modelle als Techniken der Anomalieerkennung
Die statischen Modelle im Denning´s Original Model sind das:
- operationale Modell,
- Modell der Mittelwerte und Standardabweichung
- multivariate Modell
- Markov Prozess Modell.
Die vier Modell werden kurz dargestellt und erläutert, da sie die Basis bilden für die Anomalieerkennung.
Operationales Modell
Bei dem operationalen Modell werden Ereigniszähler eingesetzt. Es wird nach bestimmten Kategorien und Zeitintervallen unterschieden. Die Anzahl der Ereignisse wird mit einem zuvor festgelegten Schwellenwert verglichen. Ist der Schwellwert überschritten, kann darauf eine Reaktion folgen.
Modell der Mittelwerte und Standardabweichung
Das Modell der Mittelwerte und Standardabweichung benutzt ein festgelegtes Konfidenzintervall. Sollte ein Ereignis innerhalb einer festgelegten Zeitspanne, außerhalb des Intervalls liegen, liegt ein abnormales Benutzerverhalten vor. Das Intervall ist als Standardabweichung definiert und ist abhängig von mehreren Parametern.
Multivariate Modell
Das multivariate Modell ist eine Erweiterung des Modells der Standardabweichung. Das Modell wird um die Korrelation erweitert, welche sich auf zwei oder mehrere Metriken beziehen kann.
Markov Prozess Modell
Das Markov-Prozess-Modell ist ein Zufallsprozess, bei dem die Wahrscheinlichkeit des Übergangs von einem Zustand in den nächsten ausschließlich vom vorhergehenden abhängt. Als Metrik können hierbei nur Ereigniszähler zum Einsatz kommen. Jede einzelne Beobachtung kann dabei als Zustandsvariable aufgefasst werden. Der einfachste Fall des Markov-Prozesses berücksichtigt nur eine einzelne vorherige Beobachtung. Durch eine zweidimensionale Matrix können die beobachteten Übergangsfrequenzen zwischen Beobachtungen dargestellt werden. Abnormal wird eine Beobachtung, wenn der Wert in der Matrix höher ist als der Wert der Übergangswahrscheinlichkeit.
Quantitative Analyse Techniken der Anomalieerkennung
Die Technik der quantitativen Analyse basiert auf Erkennungsregeln und Attributen in numerischer Form. Die Berechnungen reichen von einfachen Additionen bis zu hoch komplexen, kryptografischen Rechnungen. Das Ergebnis der Berechnungen kann sowohl bei der Missbrauchserkennung und Anomalieerkennung eingesetzt werden. Die folgenden Verfahren Schwellenerkennung, heuristische Schwellenerkennung und die zielbasierte Integritätsprüfung werden unter anderem dazu eingesetzt das Datenvolumen zu verringern.
Schwellenerkennung
Bei der Schwellenerkennung wird das Benutzerverhalten geprüft anhand bestimmter Ereigniszähler. Wenn das Benutzerverhalten einen bestimmten zugelassenen Zählerzustand überschreitet, kann eine Reaktion erfolgen. Typisches Beispiel ist die Begrenzung der Login Versuche bei einem Betriebssystem.
Heuristische Schwellenerkennung
Bei der heuristische Schwellenerkennung, handelt es sich um eine Schwellenerkennung die auf bestimmte Überwachungsstufen angepasst wurde. Durch die Differenzierung nach Stufen kann die Erkennung genauer und schneller vorgenommen werden, da nicht die komplette Zielumgebung geprüft werden muss. Besonderst sinnvoll bei großen Zielumgebungen oder vielen Benutzern.
Zielbasierte Integritätsprüfung
Bei der Technik der zielbasierten Integritätsprüfung werden Systemobjekte z.B. Dateien, auf Veränderung überprüft. Um die Veränderung festzustellen werden Prüfsummen für die festgelegten Objekte errechnet. Stimmen die neu errechneten Prüfsummen nicht mehr mit den vorherigen Prüfsummen überein, wurde die Datei manipuliert. Ein klassisches Werkzeug um die Prüfsummen zu berechnen ist Tripwire.
Parametrische statistische Messungen als Techniken der Anomalieerkennung
Rebecca Gurley Bace beschreibt, in Ihrem Buch Intrusion Detection, die parametrischen statistischen Messungen anhand zweier ID-Systeme, dem IDES/NIDES und dem Haystack-System. Beide zugrunde liegende Techniken werden wiedergegeben.
IDES/NIDES
Das IDES/NIDES System besitzt eine Wissensbasis, die aus Benutzerprofilen besteht. Die gespeicherten Benutzerprofile werden ständig aktualisiert mit den laufenden Daten. Dadurch wird es möglich das Benutzerverhalten an neue Gegebenheiten anzupassen. Die Formel, welche die Aktualisierung ermöglicht besteht aus zwei Teilen, dem Inversen einer Korrelationsmatrix C-1 oder eines Vektors und aus der Transponierung t eines Vektors. Die einzelnen Merkmale Sn stehen für bestimmte zu vor festgelegter Aspekte des Benutzerverhaltens z.B. CPU-Zeit. IS = (S1, S2, … Sn) C-1 (S1, S2, … Sn) t. Diese Statistik wird als IS = IDES Score bezeichnet.
Haystack
Das Haystack-System besteht aus einer zweiteiligen, statistischen Messung. Der erste Teil der Messung verläuft folgendermaßen:
- Das System pflegt einen Vektor von Messungen des Benutzerverhaltens.
- Für jeden Typ eines Einbruchs assoziiert das System ein Gewicht zu jeder Maßeinheit des Benutzerverhaltens.
- Bei jeder Sitzung des Users, wird ein Vektor der Benutzermaßeinheiten mit einem Schwellenwertvektor verglichen.
- Die Benutzermaßeinheiten, welche die Schwellenwerte überschreiten, werden festgehalten.
- Die überschrittenen Schwellenwerte werden mit den Gewichten aus Punkt 2 assoziiert und aufsummiert.
- Die Summe wird genutzt um einen Verdachtsquotienten zu einer Benutzersitzung zuzuordnen.
Der zweite Teil der Messung berechnet die Abweichungen vom normalen Benutzerverhalten. Die Abweichungen ergeben sich aus dem Profilvergleich des aktuellen mit dem historischen Benutzerverhalten.
Nicht-parametrische statistische Maße als Techniken der Anomalieerkennung
Bei der nicht-parametrischen statistischen Messung handelt es sich um eine Cluster-Analyse, die nicht-parametrische Daten klassifiziert. Bei der Cluster-Analyse werden große Mengen von historischen Daten gesammelt. Die gesammelten Daten werden, gemäß einiger Evaluationskriterien (Merkmale), durch Clusterbildung organisiert. Das Aufbereiten der Daten wird vorgenommen indem die Evaluationskriterien (Merkmale) einem einzelnen Ereignisstrom (oft auf einen speziellen Benutzer abgebildet) zugeordnet werden. Die Zuordnung wird dann in eine Vektordarstellung konvertiert, welche einen n-dimensionalen Zustand besitzt z.B. xi = [f1, f2, … fn]. Um die Vektoren in Benimmklassen zu gruppieren, werden Clusteralgorithmen verwendet.
Die Clusteralgorithmen sollen versuchen die Mitglieder jeder Klasse so nah wie möglich zu jeder anderen zu gruppieren, während die unterschiedlichen Klassen so weit entfernt wie möglich gruppiert werden sollen. Der Sinn, bei der nichtparametrischen statistischen Anomalieerkennung ist es, dass die entstehenden Daten der Benutzeraktivitäten in zwei unterschiedliche Cluster überführt werden. Das erste Cluster stellt die normale Benutzeraktivität dar und das zweite Cluster die abnormale Benutzeraktivität. Clusteralgorithmen gibt es in unterschiedlicher Form, von einfachen Distanzmaßen bis zu komplexen konzeptbasierten Maßen. Forschungsarbeiten haben ergeben, das der k-nearest-neighbor Algorithmus der beste Algorithmus für die Zielerreichung der nichtparametrischen statistischen Anomalieerkennung ist.
Weitere Informationen zu Clusteralgorithmen und speziell zum „k-nearest-neighbor“ Algorithmus findet man unter: http://www.cs.okstate.edu/~doug/publications/dh_cvpr01_ldasvm.pdf
Regelbasierte Techniken der Anomalieerkennung
In den Systemen TIM (Time-Based Inductive System) und Widsdom and Sense lassen sich die regelbasierten Ansätze zur Anomalieerkennung finden.
TIM (Time-Based Inductive System)
Die Anomalieerkennung mit TIM basiert auf Regeln, welche nicht nach Ereignissen sucht, sondern die zeitliche Abfolge von Ereignissen verfolgt und überwacht. Ein abnormales Ereignis liegt vor, wenn die zeitliche Abfolge der Ereignisse nicht eingehalten wird.
Wisdom and Sense
Bei Wisdom and Sense gibt es zwei Möglichkeiten die Regeln zu erzeugen. Zum Ersten können die Regeln manuell durch den Benutzer eingegeben werden und/oder die Regeln werden automatisch erzeugt, auf Grundlage von historischen Auditdaten. Die Regeln werden in einer Baumstruktur abgelegt und spiegeln das Verhalten von Systemsubjekten und –objekten wieder.
Neuronale Netzwerke
Neuronale Netzwerke können Anomalien mit Hilfe von adaptiven Lerntechniken erkennen und benötigen deshalb keine Parameter, die durch den Benutzer vorgegeben werden müssen. Ein neuronales Netzwerk besteht aus so genannten Einheiten (Units), die miteinander interagieren indem sie gewichtete Verbindungen benutzen. Der eigentliche Lernprozess besteht darin, dass die Gewichte der Verbindungen geändert und Verbindungen hinzugefügt oder entfernt werden. Ein abnormales Ereignis wird erkannt, indem sich der Zustand der Einheiten (Units) ändert, also sich die Gewichtigkeit der Verbindungen ändert und Verbindungen hinzugefügt oder entfernt werden. Das neuronale Netzwerk kann selbst seine Definitionen über normale Ereignisse korrigieren und sich so an neue Bedingungen anpassen.