PJ Intelligente Sicherheitsanwendungen
Modul: | Intelligente Sicherheit in Netzwerken (MINF-KS-InSiN.S10) |
Semester: | Sommersemester 2010 |
Art: | PJ (4 SWS / 6 LP) |
LV-Nr.: | 0435 L 772 |
Veranstalter: | Karsten Bsufka |
Ort und Zeit: | FR 3035, Di. 10:00-12:00, ab 20.04 |
---
Diese Veranstaltung wird online mit ISIS durchgeführt Bitte melden Sie sich dort an!
---
Infos zur Anmeldung, zum Einloggen finden sich hier.
Beschreibung
IT Infrastrukturen sind Bedrohungen aus dem Internet und von Insidern ausgesetzt. Mechanismen zum Schutz vor diesen Bedrohungen fokussieren sich dabei auf präventive Maßnahmen wie Firewalls oder Virenscanner. Diese Systeme können jedoch keinen 100% Schutz liefern, früher oder später versagen präventive Maßnahmen und ein Angriff wird erfolgreich sein.
- Angriffsvorbereitung: Angreifer erkunden ihr Zielsystem und breiten den eigentlichen Angriff vor.
- Während eines Angriffs: Teile eines mehrstufigen Angriffes wurden bereits erfolgreich durchgeführt bzw. das eigentliche Angriffsziel wurde bereits erreicht und eine unberechtigte Nutzung ist im Gange.
- Untersuchung eines Angriffs: Ein Angriff wurde erfolgreich durchgeführt und abgeschlossen. Es muss ermittelt werden wie der Angriff möglich war, welcher Schaden entstanden ist und woher der Angriff kam.
Für alle diese Phasen und der damit verbunden Aufgaben, existieren bereits Anwendungen und Vorgehensmodelle. Im Projekt werden wir uns mit automatisierten Verfahren in diesem Bereich beschäftigen, insbesondere mit Verfahren die Methoden der Künstlichen Intelligenz einsetzen. Die dabei anfallenden Aufgaben werden zum Teil in einem Test-Labor und zu einem Teil in einer Simulationsumgebung durchgeführt.
Aufgabenbeschreibung
Angreifer scannen öffentliche zugängliche Web-Server eines Herstellers nach einer bisher unveröffentlichten Schwachstelle. Die Ausnutzung erlaubt es Angreifern im Intranet eines Unternehmens nach Rechnern mit einem bestimmten Betriebssystem zu suchen und dort eine weitere unbekannte Schwachstelle auszunutzen. Sie nutzen diese, um einen Trojaner auf dem betroffenen System zu installieren. Der Trojaner verfolgt dabei mehrere Aufgaben:
- Er fungiert als Bot in einem Bot-Netzwerk und kann entweder zum Versenden von SPAM-Nachrichten oder für einen DDoS-Angriff genutzt werden. Die Auswahl und Steuerung erfolgt durch Kommunikation mit einem Bot-Netz Command & Control Server.
- Er beinhaltet Wurm-Funktionalitäten um sich im internen Netz zu verbreiten und weitere Systeme aufzuspüren auf denen Bots installiert werden können.
Zielsysteme verfügen über Firewalls, die nur Web und E-Mail Datenverkehr zwischen internen Netzen und dem Internet zu lassen und über signaturbasierte Intrusion Detection Systeme, die in der Lage sind Pakete zu verwerfen und IP-Adressen bzw. Adressbereiche zu blocken.
Die Aufgaben im Projekt beinhalten die folgenden Aspekte (konkrete Aufgaben und Schwerpunkte richten sie nach Anzahl und Interessen der Teilnehmer):
- Modellierung einer Simulation mit NeSSi2, die es ermöglicht den oben beschrieben Angriff zu simulieren.
- Die Entwicklung von Verfahren zur Erkennung von:
- Infizierten Web-Servern
- Infizierten Rechnern
- Wurmausbreitung
- DDoS Angriff (Ziel und Quelle)
- SPAM Versand (ohne Deep-Packet Inspection)
- Bot-Netz Topologie
- Bot-Netz Command & Control
- Die Verteilung von Signaturen und das Blocken von Angriffen durch signaturbasierte IDS in der Simulation.
- Ermittlung einer lokalen Netzwerk-Topologie und Sammlung von Daten zur Rekonstruktion/Dokumentation von Bot-Aktivitäten.
Lernziele
Nach erfolgreichem Abschluss dieses Kurses sollen die Studenten folgende Fähigkeiten erworben haben:
- Theoretische und praktische Kenntnisse zur Erkennung von Angriffen auf IT-Infrastrukturen mit Hilfe von KI Methoden
- Erfahrung im Umgang mit Netzwerksimulatoren
- Programmieren mit Java
- Arbeiten im Team an einer komplexen Aufgabe
- Wissenschaftliches Evaluieren von Ergebnissen
Voraussetzungen
- Abgeschlossenes Vordiplom oder Master-Student in Informatik oder einer verwandten Studienrichtung
- Gute Java Kenntnisse
Hilfreiche Kenntnisse (nicht zwingend erforderlich):
- Sicherer Umgang mit Eclipse und SVN
- Maschinelles Lernen
- TCP/IP Netzwerke
- Teamarbeit
Prüfungsmodalitäten, Anforderungen
Die Gesamtnote für dieses Projekt setzt sich aus folgenden Teilen zusammen:
- 20% Präsentation der Projektplanung und der Projektfortschritte
- 50% Implementierung und Simulation
- 20% Abschlussbericht/Dokumentation
- 10% Rücksprache
Projektablauf
Datum | Thema |
20.04. | Einführung und Überblick |
27.04. | Simulationen mit NeSSi2 |
04.05. | Projektplanung |
11.05. | Rückfragen, Hilfen, Fortschrittsbericht |
18.05 | Rückfragen, Hilfen, Fortschrittsbericht |
25.05. | Meilenstein: Simulation-Design |
01.06. | Rückfragen, Hilfen, Fortschrittsbericht |
08.06. | Rückfragen, Hilfen, Fortschrittsbericht |
15.06. | Rückfragen, Hilfen, Fortschrittsbericht |
22.06. | Meilenstein: Angriffserkennung |
29.06. | Rückfragen, Hilfen, Fortschrittsbericht |
06.07. | Rückfragen, Hilfen, Fortschrittsbericht |
13.07. | Abschlusspräsentation |
Endgültige Abgabe aller Arbeiten ist am Ende der Semesterferien. Üblicherweise am Anfang der letzten Woche in der vorlesungsfreien Zeit. Bis dahin kann die Dokumentation und die prototypische Implementierung verbessert werden.
Material / Literatur
Simulations-Software
Einstiegs-Literatur
- Stephan Schmidt, Rainer Bye, Joël Chinnow, Karsten Bsufka, Ahmet Camtepe, and Sahin Albayrak. Application-level Simulation for Network Security. SIMULATION first published on August 4, 2009 as doi:10.1177/0037549709340730
Informationen zum Modul
Dieses Modul kann sowohl von Studierenden im Diplom als auch in den Masterstudiengängen Informatik und Technische Informatik belegt werden.
Das Modul besteht aus den zwei Pflichtveranstaltungen KI in der Netzwerksicherheit (VL) und Intelligente Sicherheitsanwendungen (PJ).
Diplomstudenten können wahlweise eine oder beide Veranstaltungen belegen. Master-Studenten müssen beide Veranstaltungen absolvieren.
Im Bachelor kann diese Veranstaltung nicht belegt werden!
Weitere Informationen zum Modul Intelligente Sicherheit in Netzwerken (MINF-KS-InSiN.S10)
Ansprechpartner
Copyright TU Berlin 2007