direkt zum Inhalt springen

direkt zum Hauptnavigationsmenü

Logo der TU Berlin

PJ Intelligente Sicherheitsanwendungen

Modul: Intelligente Sicherheit in Netzwerken (MINF-KS-InSiN.S10)
Semester: Sommersemester 2010
Art: PJ (4 SWS / 6 LP)
LV-Nr.: 0435 L 772
Veranstalter: Karsten Bsufka
Ort und Zeit: FR 3035, Di. 10:00-12:00, ab 20.04

---

Diese Veranstaltung wird online mit ISIS durchgeführt Bitte melden Sie sich dort an!

---

Infos zur Anmeldung, zum Einloggen finden sich hier.

Beschreibung

IT Infrastrukturen sind Bedrohungen aus dem Internet und von Insidern ausgesetzt. Mechanismen zum Schutz vor diesen Bedrohungen fokussieren sich dabei auf präventive Maßnahmen wie Firewalls oder Virenscanner. Diese Systeme können jedoch keinen 100% Schutz liefern, früher oder später versagen präventive Maßnahmen und ein Angriff wird erfolgreich sein.

  • Angriffsvorbereitung: Angreifer erkunden ihr Zielsystem und breiten den eigentlichen Angriff vor.
  • Während eines Angriffs: Teile eines mehrstufigen Angriffes wurden bereits erfolgreich durchgeführt bzw. das eigentliche Angriffsziel wurde bereits erreicht und eine unberechtigte Nutzung ist im Gange.
  • Untersuchung eines Angriffs: Ein Angriff wurde erfolgreich durchgeführt und abgeschlossen. Es muss ermittelt werden wie der Angriff möglich war, welcher Schaden entstanden ist und woher der Angriff kam.

Für alle diese Phasen und der damit verbunden Aufgaben, existieren bereits Anwendungen und Vorgehensmodelle. Im Projekt werden wir uns mit automatisierten Verfahren in diesem Bereich beschäftigen, insbesondere mit Verfahren die Methoden der Künstlichen Intelligenz einsetzen. Die dabei anfallenden Aufgaben werden zum Teil in einem Test-Labor und zu einem Teil in einer Simulationsumgebung durchgeführt.

 

Aufgabenbeschreibung

Angreifer scannen öffentliche zugängliche Web-Server eines Herstellers nach einer bisher unveröffentlichten Schwachstelle. Die Ausnutzung erlaubt es Angreifern im Intranet eines Unternehmens nach Rechnern mit einem bestimmten Betriebssystem zu suchen und dort eine weitere unbekannte Schwachstelle auszunutzen. Sie nutzen diese, um einen Trojaner auf dem betroffenen System zu installieren. Der Trojaner verfolgt dabei mehrere Aufgaben:

  1. Er fungiert als Bot in einem Bot-Netzwerk und kann entweder zum Versenden von SPAM-Nachrichten oder für einen DDoS-Angriff genutzt werden. Die Auswahl und Steuerung erfolgt durch Kommunikation mit einem Bot-Netz Command & Control Server.
  2. Er beinhaltet Wurm-Funktionalitäten um sich im internen Netz zu verbreiten und weitere Systeme aufzuspüren auf denen Bots installiert werden können.

Zielsysteme verfügen über Firewalls, die nur Web und E-Mail Datenverkehr zwischen internen Netzen und dem Internet zu lassen und über signaturbasierte Intrusion Detection Systeme, die in der Lage sind Pakete zu verwerfen und IP-Adressen bzw. Adressbereiche zu blocken.

 

Die Aufgaben im Projekt beinhalten die folgenden Aspekte (konkrete Aufgaben und Schwerpunkte richten sie nach Anzahl und Interessen der Teilnehmer):

  1. Modellierung einer Simulation mit NeSSi2, die es ermöglicht den oben beschrieben Angriff zu simulieren.
  2. Die Entwicklung von Verfahren zur Erkennung von:
    • Infizierten Web-Servern
    • Infizierten Rechnern
    • Wurmausbreitung
    • DDoS Angriff (Ziel und Quelle)
    • SPAM Versand (ohne Deep-Packet Inspection)
    • Bot-Netz Topologie
    • Bot-Netz Command & Control
  3. Die Verteilung von Signaturen und das Blocken von Angriffen durch signaturbasierte IDS in der Simulation.
  4. Ermittlung einer lokalen Netzwerk-Topologie und Sammlung von Daten zur Rekonstruktion/Dokumentation von Bot-Aktivitäten.

 

 

Lernziele

Nach erfolgreichem Abschluss dieses Kurses sollen die Studenten folgende Fähigkeiten erworben haben:

  • Theoretische und praktische Kenntnisse zur Erkennung von Angriffen auf IT-Infrastrukturen mit Hilfe von KI Methoden
  • Erfahrung im Umgang mit Netzwerksimulatoren
  • Programmieren mit Java
  • Arbeiten im Team an einer komplexen Aufgabe
  • Wissenschaftliches Evaluieren von Ergebnissen

Voraussetzungen

  • Abgeschlossenes Vordiplom oder Master-Student in Informatik oder einer verwandten Studienrichtung
  • Gute Java Kenntnisse

Hilfreiche Kenntnisse (nicht zwingend erforderlich):

  • Sicherer Umgang mit Eclipse und SVN
  • Maschinelles Lernen
  • TCP/IP Netzwerke
  • Teamarbeit

Prüfungsmodalitäten, Anforderungen

Die Gesamtnote für dieses Projekt setzt sich aus folgenden Teilen zusammen:

  • 20% Präsentation der Projektplanung und der Projektfortschritte
  • 50% Implementierung und Simulation
  • 20% Abschlussbericht/Dokumentation
  • 10% Rücksprache

Projektablauf

DatumThema
20.04.Einführung und Überblick
27.04.Simulationen mit NeSSi2
04.05.Projektplanung
11.05.Rückfragen, Hilfen, Fortschrittsbericht
18.05Rückfragen, Hilfen, Fortschrittsbericht
25.05.Meilenstein: Simulation-Design
01.06.Rückfragen, Hilfen, Fortschrittsbericht
08.06.Rückfragen, Hilfen, Fortschrittsbericht
15.06.Rückfragen, Hilfen, Fortschrittsbericht
22.06.Meilenstein: Angriffserkennung
29.06.Rückfragen, Hilfen, Fortschrittsbericht
06.07.Rückfragen, Hilfen, Fortschrittsbericht
13.07.Abschlusspräsentation


Endgültige Abgabe aller Arbeiten ist am Ende der Semesterferien. Üblicherweise am Anfang der letzten Woche in der vorlesungsfreien Zeit. Bis dahin kann die Dokumentation und die prototypische Implementierung verbessert werden.

Material / Literatur

Simulations-Software

Einstiegs-Literatur

  • Stephan Schmidt, Rainer Bye, Joël Chinnow, Karsten Bsufka, Ahmet Camtepe, and Sahin Albayrak. Application-level Simulation for Network Security. SIMULATION first published on August 4, 2009 as doi:10.1177/0037549709340730

Informationen zum Modul

Dieses Modul kann sowohl von Studierenden im Diplom als auch in den Masterstudiengängen Informatik und Technische Informatik belegt werden.

Das Modul besteht aus den zwei Pflichtveranstaltungen KI in der Netzwerksicherheit (VL) und Intelligente Sicherheitsanwendungen (PJ).

Diplomstudenten können wahlweise eine oder beide Veranstaltungen belegen. Master-Studenten müssen beide Veranstaltungen absolvieren.

Im Bachelor kann diese Veranstaltung nicht belegt werden!

Weitere Informationen zum Modul Intelligente Sicherheit in Netzwerken (MINF-KS-InSiN.S10)

Ansprechpartner

Karsten Bsufka