TY - THES A1 - Iffländer, Lukas T1 - Attack-aware Security Function Management T1 - Angriffsbewusste Verwaltung von Sicherheitsfunktionen N2 - Over the last decades, cybersecurity has become an increasingly important issue. Between 2019 and 2011 alone, the losses from cyberattacks in the United States grew by 6217%. At the same time, attacks became not only more intensive but also more and more versatile and diverse. Cybersecurity has become everyone’s concern. Today, service providers require sophisticated and extensive security infrastructures comprising many security functions dedicated to various cyberattacks. Still, attacks become more violent to a level where infrastructures can no longer keep up. Simply scaling up is no longer sufficient. To address this challenge, in a whitepaper, the Cloud Security Alliance (CSA) proposed multiple work packages for security infrastructure, leveraging the possibilities of Software-defined Networking (SDN) and Network Function Virtualization (NFV). Security functions require a more sophisticated modeling approach than regular network functions. Notably, the property to drop packets deemed malicious has a significant impact on Security Service Function Chains (SSFCs)—service chains consisting of multiple security functions to protect against multiple at- tack vectors. Under attack, the order of these chains influences the end-to-end system performance depending on the attack type. Unfortunately, it is hard to predict the attack composition at system design time. Thus, we make a case for dynamic attack-aware SSFC reordering. Also, we tackle the issues of the lack of integration between security functions and the surrounding network infrastructure, the insufficient use of short term CPU frequency boosting, and the lack of Intrusion Detection and Prevention Systems (IDPS) against database ransomware attacks. Current works focus on characterizing the performance of security functions and their behavior under overload without considering the surrounding infrastructure. Other works aim at replacing security functions using network infrastructure features but do not consider integrating security functions within the network. Further publications deal with using SDN for security or how to deal with new vulnerabilities introduced through SDN. However, they do not take security function performance into account. NFV is a popular field for research dealing with frameworks, benchmarking methods, the combination with SDN, and implementing security functions as Virtualized Network Functions (VNFs). Research in this area brought forth the concept of Service Function Chains (SFCs) that chain multiple network functions after one another. Nevertheless, they still do not consider the specifics of security functions. The mentioned CSA whitepaper proposes many valuable ideas but leaves their realization open to others. This thesis presents solutions to increase the performance of single security functions using SDN, performance modeling, a framework for attack-aware SSFC reordering, a solution to make better use of CPU frequency boosting, and an IDPS against database ransomware. Specifically, the primary contributions of this work are: • We present approaches to dynamically bypass Intrusion Detection Systems (IDS) in order to increase their performance without reducing the security level. To this end, we develop and implement three SDN-based approaches (two dynamic and one static). We evaluate the proposed approaches regarding security and performance and show that they significantly increase the performance com- pared to an inline IDS without significant security deficits. We show that using software switches can further increase the performance of the dynamic approaches up to a point where they can eliminate any throughput drawbacks when using the IDS. • We design a DDoS Protection System (DPS) against TCP SYN flood at tacks in the form of a VNF that works inside an SDN-enabled network. This solution eliminates known scalability and performance drawbacks of existing solutions for this attack type. Then, we evaluate this solution showing that it correctly handles the connection establishment and present solutions for an observed issue. Next, we evaluate the performance showing that our solution increases performance up to three times. Parallelization and parameter tuning yields another 76% performance boost. Based on these findings, we discuss optimal deployment strategies. • We introduce the idea of attack-aware SSFC reordering and explain its impact in a theoretical scenario. Then, we discuss the required information to perform this process. We validate our claim of the importance of the SSFC order by analyzing the behavior of single security functions and SSFCs. Based on the results, we conclude that there is a massive impact on the performance up to three orders of magnitude, and we find contradicting optimal orders for different workloads. Thus, we demonstrate the need for dynamic reordering. Last, we develop a model for SSFC regarding traffic composition and resource demands. We classify the traffic into multiple classes and model the effect of single security functions on the traffic and their generated resource demands as functions of the incoming network traffic. Based on our model, we propose three approaches to determine optimal orders for reordering. • We implement a framework for attack-aware SSFC reordering based on this knowledge. The framework places all security functions inside an SDN-enabled network and reorders them using SDN flows. Our evaluation shows that the framework can enforce all routes as desired. It correctly adapts to all attacks and returns to the original state after the attacks cease. We find possible security issues at the moment of reordering and present solutions to eliminate them. • Next, we design and implement an approach to load balance servers while taking into account their ability to go into a state of Central Processing Unit (CPU) frequency boost. To this end, the approach collects temperature information from available hosts and places services on the host that can attain the boosted mode the longest. We evaluate this approach and show its effectiveness. For high load scenarios, the approach increases the overall performance and the performance per watt. Even better results show up for low load workloads, where not only all performance metrics improve but also the temperatures and total power consumption decrease. • Last, we design an IDPS protecting against database ransomware attacks that comprise multiple queries to attain their goal. Our solution models these attacks using a Colored Petri Net (CPN). A proof-of-concept implementation shows that our approach is capable of detecting attacks without creating false positives for benign scenarios. Furthermore, our solution creates only a small performance impact. Our contributions can help to improve the performance of security infrastructures. We see multiple application areas from data center operators over software and hardware developers to security and performance researchers. Most of the above-listed contributions found use in several research publications. Regarding future work, we see the need to better integrate SDN-enabled security functions and SSFC reordering in data center networks. Future SSFC should discriminate between different traffic types, and security frameworks should support automatically learning models for security functions. We see the need to consider energy efficiency when regarding SSFCs and take CPU boosting technologies into account when designing performance models as well as placement, scaling, and deployment strategies. Last, for a faster adaptation against recent ransomware attacks, we propose machine-assisted learning for database IDPS signatures. N2 - In den letzten Jahrzehnten wurde Cybersicherheit zu einem immer wichtigeren Thema. Allein zwischen 2019 und 2011 stiegen die Verluste durch Cyberattacken in den Vereinigten Staaten um 6217%. Gleichzeitig wurden die Angriffe nicht nur intensiver, sondern auch immer vielseitiger und facettenreicher. Cybersicherheit ist zu einem allgegenwärtigen Thema geworden. Heute benötigen Dienstleistungsanbieter ausgefeilte und umfassende Sicherheitsinfrastrukturen, die viele Sicherheitsfunktionen für verschiedene Cyberattacken umfassen. Den- noch werden die Angriffe immer heftiger, so dass diese Infrastrukturen nicht mehr mithalten können. Ein einfaches Scale-Up ist nicht mehr ausreichend. Um dieser Herausforderung zu begegnen, schlug die Cloud Security Alliance (CSA) in einem Whitepaper mehrere Arbeitspakete für Sicherheitsinfrastruk turen vor, die die Möglichkeiten des Software-definierten Netzwerks (SDN) und der Netzwerkfunktionsvirtualisierung (NFV) nutzen. Sicherheitsfunktionen erfordern einen anspruchsvolleren Modellierungsansatz als normale Netzwerkfunktionen. Vor allem die Eigenschaft, als bösartig erachtete Pakete fallen zu lassen, hat erhebliche Auswirkungen auf Security Service Function Chains (SSFCs) – Dienstketten, die aus mehreren Sicherheitsfunktionen zum Schutz vor mehreren Angriffsvektoren bestehen. Bei einem Angriff beeinflusst die Reihenfolge dieser Ketten je nach Angriffstyp die Gesamtsystemleistung. Leider ist es schwierig, die Angriffszusammensetzung zur Designzeit vorherzusagen. Daher plädieren wir für eine dynamische, angriffsbewusste Neuordnung der SSFC. Außerdem befassen wir uns mit den Problemen der mangelnden Integration zwischen Sicherheitsfunktionen und der umgebenden Netzwerkinfrastruktur, der unzureichenden Nutzung der kurzfristigen CPU-Frequenzverstärkung und des Mangels an Intrusion Detection and Prevention Systems (IDPS) zur Abwehr von Datenbank-Lösegeldangriffen. Bisherige Arbeiten konzentrieren sich auf die Charakterisierung der Leistungsfähigkeit von Sicherheitsfunktionen und deren Verhalten bei Überlastung ohne Berücksichtigung der umgebenden Infrastruktur. Andere Arbeiten zielen darauf ab, Sicherheitsfunktionen unter Verwendung von Merkmalen der Netzwerkinfrastruktur zu ersetzen, berücksichtigen aber nicht die Integration von Sicherheitsfunktionen innerhalb des Netzwerks. Weitere Publikationen befassen sich mit der Verwendung von SDN für die Sicherheit oder mit dem Umgang mit neuen, durch SDN eingeführten Schwachstellen. Sie berücksichtigen jedoch nicht die Leistung von Sicherheitsfunktionen. Die NFV-Domäne ist ein beliebtes Forschungsgebiet, das sich mit Frameworks, Benchmarking-Methoden, der Kombination mit SDN und der Implementierung von Sicherheitsfunktionen als Virtualized Network Functions (VNFs) befasst. Die Forschung in diesem Bereich brachte das Konzept der Service-Funktionsketten (SFCs) hervor, die mehrere Netzwerkfunktionen nacheinander verketten. Dennoch berücksichtigen sie noch immer nicht die Besonderheiten von Sicherheitsfunktionen. Zu diesem Zweck schlägt das bereits erwähnte CSA-Whitepaper viele wertvolle Ideen vor, lässt aber deren Realisierung anderen offen. In dieser Arbeit werden Lösungen zur Steigerung der Leistung einzelner Sicherheitsfunktionen mittels SDN, Performance Engineering, Modellierung und ein Rahmenwerk für die angriffsbewusste SSFC-Neuordnung, eine Lösung zur besseren Nutzung der CPU-Frequenzsteigerung und ein IDPS gegen Datenbank-Lösegeld. Im Einzelnen sind die sechs Hauptbeiträge dieser Arbeit: • Wir stellen Ansätze zur dynamischen Umgehung von Intrusion-Detection-Systemen (IDS) vor, um deren Leistung zu erhöhen, ohne das Sicherheitsniveau zu senken. Zu diesem Zweck entwickeln und implementieren wir drei SDN-basierte Ansätze (zwei dynamische und einen statischen). Wir evaluieren sie hinsichtlich Sicherheit und Leistung und zeigen, dass alle Ansätze die Leistung im Vergleich zu einem Inline-IDS ohne signifikante Sicherheitsdefizite signifikant steigern. Wir zeigen ferner, dass die Verwendung von Software-Switches die Leistung der dynamischen Ansätze weiter steigern kann, bis zu einem Punkt, an dem sie bei der Verwendung des IDS etwaige Durchsatznachteile beseitigen können. • Wir entwerfen ein DDoS-Schutzsystem (DPS) gegen TCP-SYN-Flutangriffe in Form eines VNF, das innerhalb eines SDN-fähigen Netzwerks funktioniert. Diese Lösung eliminiert bekannte Skalierbarkeits-und Leistungsnachteile bestehender Lösungen für diesen Angriffstyp. Dann bewerten wir diese Lösung und zeigen, dass sie den Verbindungsaufbau korrekt handhabt, und präsentieren Lösungen für ein beobachtetes Problem. Als nächstes evaluieren wir die Leistung und zeigen, dass unsere Lösung die Leistung bis zum Dreifachen erhöht. Durch Parallelisierung und Parameterabstimmung werden weitere 76% der Leistung erzielt. Auf der Grundlage dieser Ergebnisse diskutieren wir optimale Einsatzstrategien. • Wir stellen die Idee der angriffsbewussten Neuordnung des SSFC vor und erläutern deren Auswirkungen anhand eines theoretischen Szenarios. Dann erörtern wir die erforderlichen Informationen zur Durchführung dieses Prozesses. Wir validieren unsere Behauptung von der Bedeutung der SSFC-Ordnung, indem wir das Verhalten einzelner Sicherheitsfunktionen und SSFCs analysieren. Aus den Ergebnissen schließen wir auf eine massive Auswirkung auf die Leistung bis zu drei Größenordnungen, und wir finden widersprüchliche optimale Aufträge für unterschiedliche Arbeitsbelastungen. Damit beweisen wir die Notwendigkeit einer dynamischen Neuordnung. Schließlich entwickeln wir ein Modell für den SSFC hinsichtlich der Verkehrszusammensetzung und des Ressourcenbedarfs. Dazu klassifizieren wir den Datenverkehr in mehrere Klassen und modellieren die Auswirkungen einzelner Sicherheitsfunktionen auf den Datenverkehr und die von ihnen erzeugten Ressourcenanforderungen als Funktionen des eingehenden Netzwerkverkehrs. Auf der Grundlage unseres Modells schlagen wir drei Ansätze zur Berechnung der gewünschten Reihenfolge für die Neuordnung vor. Auf der Grundlage dieses Wissens implementieren wir einen Rahmen für die angriffsbewusste SSFC-Neuordnung. Das Rahmenwerk platziert alle Sicherheitsfunktionen innerhalb eines SDN-fähigen Netzwerks und ordnet sie mit Hilfe von SDN-Flüssen neu an. Unsere Auswertung zeigt, dass das Rahmenwerk alle Routen wie gewünscht durchsetzen kann. Es passt sich allen Angriffen korrekt an und kehrt nach Beendigung der Angriffe in den ursprünglichen Zustand zurück. Wir finden mögliche Sicherheitsprobleme zum Zeitpunkt der Neuordnung und präsentieren Lösungen zu deren Beseitigung. Als Nächstes entwerfen und implementieren wir einen Ansatz zum Lastausgleich von Servern hinsichtlich ihrer Fähigkeit, in einen Zustand der Frequenzerhöhung der Zentraleinheit (CPU) zu gehen. Zu diesem Zweck sammelt der Ansatz Temperaturinformationen von verfügbaren Hosts und platziert den Dienst auf dem Host, der den verstärkten Modus am längsten erreichen kann. Wir evaluieren diesen Ansatz und zeigen seine Funktionalität auf. Für Hochlastszenarien erhöht der Ansatz die Gesamtleistung und steigert die Leistung pro Watt. Noch bessere Ergebnisse zeigen sich bei Niedriglast-Workloads, wo sich nicht nur alle Leistungsmetriken verbessern, sondern auch die Temperaturen und der Gesamtstromverbrauch sinken. • Zuletzt entwerfen wir ein IDPS, das vor Lösegeld-Angriffen auf Datenbanken schützt, die mehrere Abfragen umfassen, um ihr Ziel zu erreichen. Unsere Lösung modelliert diese Angriffe mit einem Colored Petri Net (CPN). Eine Proof-of-Concept-Implementierung zeigt, dass unser Ansatz in der Lage ist, die beobachteten Angriffe zu erkennen, ohne für gutartige Szenarien falsch positive Ergebnisse zu erzeugen. Darüber hinaus erzeugt un sere Lösung nur eine geringe Auswirkung auf die Leistung. Unsere Beiträge können dazu beitragen, die Leistungsfähigkeit von Sicherheitsinfrastrukturen zu erhöhen. Wir sehen vielfältige Anwendungsbereiche, von Rechenzentrumsbetreibern über Software- und Hardwareentwickler bis hin zu Sicherheits- und Leistungsforschern. Die meisten der oben aufgeführten Beiträge fanden in mehreren Forschungspublikationen Verwendung. Was die zukünftige Arbeit betrifft, so sehen wir die Notwendigkeit, bessere SDN-fähige Sicherheitsfunktionen und SSFC-Neuordnung in Rechenzentrumsnetzwerke zu integrieren. Künftige SSFC sollten zwischen verschiedenen Verkehrsarten unterscheiden, und Sicherheitsrahmen sollten automatisch lernende Modelle für Sicherheitsfunktionen unterstützen. Wir sehen den Bedarf, bei der Betrachtung von SSFCs die Energieeffizienz zu berücksichtigen und bei der Entwicklung von Leistungsmodellen sowie Platzierungs-, Skalierungs- und Bereitstellungsstrategien CPU-verstärkende Technologien in Betracht zu ziehen. Schließlich schlagen wir für eine schnellere Anpassung an die jüngsten Lösegeld-Angriffe maschinengestütztes Lernen für Datenbank-IDPS-Signaturen vor. KW - Software-defined networking KW - Computersicherheit KW - Virtualisierung KW - intrusion detection KW - denial of service KW - attack-aware KW - self-aware KW - software-definded networking KW - network function virtualization Y1 - 2021 U6 - http://nbn-resolving.de/urn/resolver.pl?urn:nbn:de:bvb:20-opus-224211 ER - TY - THES A1 - Milenkoski, Aleksandar T1 - Evaluation of Intrusion Detection Systems in Virtualized Environments T1 - Bewertung von Angriffserkennungssystemen in Virtualisierten Umgebungen N2 - Virtualization allows the creation of virtual instances of physical devices, such as network and processing units. In a virtualized system, governed by a hypervisor, resources are shared among virtual machines (VMs). Virtualization has been receiving increasing interest as away to reduce costs through server consolidation and to enhance the flexibility of physical infrastructures. Although virtualization provides many benefits, it introduces new security challenges; that is, the introduction of a hypervisor introduces threats since hypervisors expose new attack surfaces. Intrusion detection is a common cyber security mechanism whose task is to detect malicious activities in host and/or network environments. This enables timely reaction in order to stop an on-going attack, or to mitigate the impact of a security breach. The wide adoption of virtualization has resulted in the increasingly common practice of deploying conventional intrusion detection systems (IDSs), for example, hardware IDS appliances or common software-based IDSs, in designated VMs as virtual network functions (VNFs). In addition, the research and industrial communities have developed IDSs specifically designed to operate in virtualized environments (i.e., hypervisorbased IDSs), with components both inside the hypervisor and in a designated VM. The latter are becoming increasingly common with the growing proliferation of virtualized data centers and the adoption of the cloud computing paradigm, for which virtualization is as a key enabling technology. To minimize the risk of security breaches, methods and techniques for evaluating IDSs in an accurate manner are essential. For instance, one may compare different IDSs in terms of their attack detection accuracy in order to identify and deploy the IDS that operates optimally in a given environment, thereby reducing the risks of a security breach. However, methods and techniques for realistic and accurate evaluation of the attack detection accuracy of IDSs in virtualized environments (i.e., IDSs deployed as VNFs or hypervisor-based IDSs) are lacking. That is, workloads that exercise the sensors of an evaluated IDS and contain attacks targeting hypervisors are needed. Attacks targeting hypervisors are of high severity since they may result in, for example, altering the hypervisors’s memory and thus enabling the execution of malicious code with hypervisor privileges. In addition, there are no metrics and measurement methodologies for accurately quantifying the attack detection accuracy of IDSs in virtualized environments with elastic resource provisioning (i.e., on-demand allocation or deallocation of virtualized hardware resources to VMs). Modern hypervisors allow for hotplugging virtual CPUs and memory on the designated VM where the intrusion detection engine of hypervisor-based IDSs, as well as of IDSs deployed as VNFs, typically operates. Resource hotplugging may have a significant impact on the attack detection accuracy of an evaluated IDS, which is not taken into account by existing metrics for quantifying IDS attack detection accuracy. This may lead to inaccurate measurements, which, in turn, may result in the deployment of misconfigured or ill-performing IDSs, increasing the risk of security breaches. This thesis presents contributions that span the standard components of any system evaluation scenario: workloads, metrics, and measurement methodologies. The scientific contributions of this thesis are: A comprehensive systematization of the common practices and the state-of-theart on IDS evaluation. This includes: (i) a definition of an IDS evaluation design space allowing to put existing practical and theoretical work into a common context in a systematic manner; (ii) an overview of common practices in IDS evaluation reviewing evaluation approaches and methods related to each part of the design space; (iii) and a set of case studies demonstrating how different IDS evaluation approaches are applied in practice. Given the significant amount of existing practical and theoretical work related to IDS evaluation, the presented systematization is beneficial for improving the general understanding of the topic by providing an overview of the current state of the field. In addition, it is beneficial for identifying and contrasting advantages and disadvantages of different IDS evaluation methods and practices, while also helping to identify specific requirements and best practices for evaluating current and future IDSs. An in-depth analysis of common vulnerabilities of modern hypervisors as well as a set of attack models capturing the activities of attackers triggering these vulnerabilities. The analysis includes 35 representative vulnerabilities of hypercall handlers (i.e., hypercall vulnerabilities). Hypercalls are software traps from a kernel of a VM to the hypervisor. The hypercall interface of hypervisors, among device drivers and VM exit events, is one of the attack surfaces that hypervisors expose. Triggering a hypercall vulnerability may lead to a crash of the hypervisor or to altering the hypervisor’s memory. We analyze the origins of the considered hypercall vulnerabilities, demonstrate and analyze possible attacks that trigger them (i.e., hypercall attacks), develop hypercall attack models(i.e., systematized activities of attackers targeting the hypercall interface), and discuss future research directions focusing on approaches for securing hypercall interfaces. A novel approach for evaluating IDSs enabling the generation of workloads that contain attacks targeting hypervisors, that is, hypercall attacks. We propose an approach for evaluating IDSs using attack injection (i.e., controlled execution of attacks during regular operation of the environment where an IDS under test is deployed). The injection of attacks is performed based on attack models that capture realistic attack scenarios. We use the hypercall attack models developed as part of this thesis for injecting hypercall attacks. A novel metric and measurement methodology for quantifying the attack detection accuracy of IDSs in virtualized environments that feature elastic resource provisioning. We demonstrate how the elasticity of resource allocations in such environments may impact the IDS attack detection accuracy and show that using existing metrics in such environments may lead to practically challenging and inaccurate measurements. We also demonstrate the practical use of the metric we propose through a set of case studies, where we evaluate common conventional IDSs deployed as VNFs. In summary, this thesis presents the first systematization of the state-of-the-art on IDS evaluation, considering workloads, metrics and measurement methodologies as integral parts of every IDS evaluation approach. In addition, we are the first to examine the hypercall attack surface of hypervisors in detail and to propose an approach using attack injection for evaluating IDSs in virtualized environments. Finally, this thesis presents the first metric and measurement methodology for quantifying the attack detection accuracy of IDSs in virtualized environments that feature elastic resource provisioning. From a technical perspective, as part of the proposed approach for evaluating IDSsthis thesis presents hInjector, a tool for injecting hypercall attacks. We designed hInjector to enable the rigorous, representative, and practically feasible evaluation of IDSs using attack injection. We demonstrate the application and practical usefulness of hInjector, as well as of the proposed approach, by evaluating a representative hypervisor-based IDS designed to detect hypercall attacks. While we focus on evaluating the capabilities of IDSs to detect hypercall attacks, the proposed IDS evaluation approach can be generalized and applied in a broader context. For example, it may be directly used to also evaluate security mechanisms of hypervisors, such as hypercall access control (AC) mechanisms. It may also be applied to evaluate the capabilities of IDSs to detect attacks involving operations that are functionally similar to hypercalls, for example, the input/output control (ioctl) calls that the Kernel-based Virtual Machine (KVM) hypervisor supports. For IDSs in virtualized environments featuring elastic resource provisioning, our approach for injecting hypercall attacks can be applied in combination with the attack detection accuracy metric and measurement methodology we propose. Our approach for injecting hypercall attacks, and our metric and measurement methodology, can also be applied independently beyond the scenarios considered in this thesis. The wide spectrum of security mechanisms in virtualized environments whose evaluation can directly benefit from the contributions of this thesis (e.g., hypervisor-based IDSs, IDSs deployed as VNFs, and AC mechanisms) reflects the practical implication of the thesis. N2 - Virtualisierung ermöglicht die Erstellung virtueller Instanzen physikalischer Geräte, wie z.B. Netzwerkgeräten und Prozessoren. In einem virtualisierten System (welches von einem Hypervisor kontrolliert wird), wird von virtuellen Maschinen (engl. virtual machine - VM) gemeinsam auf Ressourcen zugegriffen. Die Virtualisierung wird zunehmend als technische Möglichkeit in Betracht gezogen, um durch Serverkonsolidierung Kosten zu reduzieren und die Flexibilität physikalischer Infrastrukturen zu erhöhen. Auch wenn die Virtualisierung viele Vorteile bietet, so ergeben sich doch neue Herausforderungen im Bereich der IT-Sicherheit—ein Hypervisor bietet nämlich neuartige Angriffsflächen. Bei der Angriffserkennung handelt es sich um einen weitverbreiteten IT-Sicherheitsmechanismus, mit welchem bosartige Aktivitäten in Rechnern oder Netzwerken identifiziert werden. So können Angriffe rechtzeitig gestoppt oder Sicherheitsverletzungen in ihrer Schwere gemindert werden. Als Folge der weiten Verbreitung von Virtualisierung ergibt sich der verstärkte Einsatz konventioneller, hard- oder softwarebasierter Angriffserkennungssysteme (engl. intrusion detection system - IDS) im Rahmen von dedizierten VMs als virtuelle Netzwerkfunktionen (engl. virtual network function - VNF). Zusätzlich wurden im Forschungs- und Industrieumfeld IDSs konkret für die Verwendung in virtualisierten Umgebungen entwickelt (d.h. hypervisor-basierte IDSs), die in Virtualisierungsebenen mit Komponenten innerhalb des Hypervisors bzw. innerhalb einer dedizierten VM eingesetzt werden. Letztere werden immer üblicher, weil sich die Anzahl der virtualisierten Rechenzentren kontinuierlich vermehrt und im Paradigma des Cloud-Computings die Virtualisierung eine Schlüsseltechnologie darstellt. Um die Risiken durch Sicherheitsverletzungen zu minimieren, sind Methoden und Verfahren zur Bewertung eines IDS von zentraler Bedeutung. Zum Beispiel können unterschiedliche IDSs hinsichtlich ihrer Angriffserkennungsgenauigkeit verglichen werden. Dies hilft um das IDS zu identifizieren und einzusetzen, dessen Leistung als optimal zu bewerten ist. So vermindert sich das Risiko einer Sicherheitsverletzung. Jedoch fehlen Methoden bzw. Verfahren zur realistischen und präzisen Bewertung der Angriffserkennungsgenauigkeit von IDSs in virtualisierten Umgebungen (d.h. IDSs eingesetzt als VNFs oder hypervisor-basierte IDSs). Hierfür sind Arbeitslasten für die Sensoren von zu evaluierenden IDSs notwendig, die Angriffe auf den Hypervisor enthalten. Angriffe auf den Hypervisor sind sehr kritisch, weil sie z.B. Speicherinhalte eines Hypervisors so verändern können, dass dieser schädlichen Code mit erhöhten Privilegien ausführt. Ebenfalls existieren keine Metriken und Messmethodiken, mit denen die Angriffserkennungsgenauigkeit von IDSs in elastischen Umgebungen (d.h. bedarfsgerechte Zuweisungen von Hardware-Ressourcen zu VMs) präzise quantifiziert werden kann. Bei modernen Hypervisoren können virtuelle CPUs sowie Speichereinheiten während des Betriebs an die dedizierte VM zugewiesen werden, in welcher die Angriffserkennung des IDSs ausgeführt wird. Die Zuweisung von Ressourcen im laufenden Betrieb (“Hotplugging“) kann sich beträchtlich auf die Angriffserkennungsgenauigkeit von zu evaluierenden IDSs auswirken, was jedoch von existierenden Metriken nicht berücksichtigt wird. Dies hat ggf. ungenaue Messungen zur Folge, was sich entsprechend im Einsatz von fehlerhaft konfigurierten oder mängelbehafteten IDSs widerspiegelt und so das Risiko von Sicherheitsverletzungen erhöht. Diese Arbeit präsentiert Beiträge, die die Standardkomponenten eines jeden Szenarios zur Systembewertung umfassen: Arbeitslasten, Metriken und Messmethodiken. Die wissenschaftlichen Beiträge dieser Arbeit sind: Eine umfassende Systematisierung der verwendeten Praktiken und des aktuelles Standes bei der Bewertung von IDSs. Die Systematisierung enthält: (i) die Definition eines Entwurfraumes für die IDS-Bewertung, welches praktische und theoretische Arbeiten im Bereich IDS-Bewertung systematisch in einen einheitlichen Kontext stellt; (ii) einen Überblick über verwendete Praktiken im Bereich IDSBewertung, der Ansätze und Methodiken jedes Teils des Entwurfraumes beinhaltet; und eine Sammlung an Fallstudien, die demonstriert, wie unterschiedliche IDS-Bewertungsansätze in der Praxis angewendet werden. Vor dem Hintergrund der beträchtlichen Menge bestehender praktischer und theoretischer Arbeiten im Bereich IDS-Bewertung erweist sich die Systematisierung als vorteilhaft zur Verbesserung des allgemeinen Themenverständnisses, indem ein Überblick zur aktuellen Sachlage des Themengebietes geliefert wird. Zusätzlich ist dies vorteilhaft bei der Identifizierung und Gegenüberstellung von Vor- und Nachteilen unterschiedlicher IDS-Bewertungsmethodiken und -praktiken. Es hilft ebenfalls Vorgaben und Empfehlungen für die Bewertung gegenwärtiger wie auch zukünftiger IDSs zu identifizieren. Eine detaillierte Analyse von Schwachstellen von Hypervisoren wird präsentiert,sowie eine Menge von Angriffsmodellen, die die Aktivitäten eines Angreifers umfassen, der diese Schwachstellen auslöst. Diese Analyse umfasst 35 Schwachstellen in Hypercall-Routinen, sogenannte Hypercall-Schwachstellen. Hypercalls sind an den Hypervisor gerichtete „Software-Traps“ aus dem Betriebssystemkern einer VM. Die Hypercall-Schnittstelle von Hypervisoren ist — neben Gerätetreibern und „VM exit“-Ereignissen — eine ihrer Angriffsflächen. Wird die gegenüber einem Hypercall bestehende Schwachstelle ausgenutzt, kann dies zu einem Absturz des Hypervisors oder zu einer Änderung seines Speicherinhalts führen. Wir analysieren die Gründe der betrachteten Hypercall-Schwachstellen, demonstrieren und analysieren Angriffe, die solche Schwachstellen ausnutzen (d.h. Hypercall-Angriffe), entwickeln Hypercall-Angriffsmodelle (nämlich systematisierte, auf die Schnittstelle der Hypercalls gerichtete Aktivitäten der Angreifer) und diskutieren zukünftige Forschungsrichtungen, die Ansätze betrachten, um die Schnittstellen von Hypercalls abzusichern. Ein neuartiger Ansatz zur Bewertung von IDSs, der die Generierung von Arbeitslasten ermöglichen, die Hypercall-Angriffe enthalten. Wir schlagen einen Ansatz zur Bewertung von IDSs durch die Injektion von Angriffen (d.h. Hypercall- Angriffen) vor. Es handelt sich hier um die kontrollierte Ausführung von Angriffen in einer regulären Systemumgebung, in welcher das betrachtete IDS eingesetzt wird. Die Injektion von Angriffen folgt Angriffsmodellen, die durch Analyse realistischer Angriffe erstellt wurden. Wir verwenden die als Teil dieser Arbeit dargestellten Hypercall-Angriffsmodelle zur Injektion von Hypercall- Angriffen. Eine neuartige Metrik und Messmethodik zur präzisen Quantifizierung der Angriffserkennungsgenauigkeit von IDSs in virtualisierten elastischen Umgebungen. Wir demonstrieren, wie die Elastizität virtualisierter Umgebungen sich auf die Angriffserkennungsgenauigkeit von IDSs auswirkt und zeigen, dass die Verwendung existierender Metriken zu schwierigen und ungenauen Messungen bei der Bewertung von IDSs in virtualisierten elastischen Umgebungen führen. Ausserdem zeigen wir den praktischen Nutzen der von uns vorgeschlagenen Metrik in mehreren Fallstudien. Zusammenfassend präsentiert diese Arbeit die erste Systematisierung des Stands der Technik bei der Bewertung von IDSs unter Beachtung der Arbeitslasten, Metriken und Messmethodiken als integraler Teil eines jeden Ansatzes zur IDS Bewertung. Außerdem sind wir die ersten, die Hypercall-Angriffsflächen im Detail untersuchen und die einen Ansatz zur Bewertung von IDSs in virtualisiertenUmgebungen durch die Injektion von Angriffen vorschlagen. Abschließend präsentiert diese Arbeit die erste Metrik und Messmethodik zur Quantifizierung der Angriffserkennungsgenauigkeit von IDSs in virtualisierten elastischen Umgebungen. Aus technischer Sicht präsentieren wir in dieser Arbeit, als Teil des vorgeschlagenen Ansatzes zur Bewertung von IDSs, ein Werkzeug mit der Bezeichnung „hInjector“, welches zur Injektion von Hypercall-Angriffen dient. Dieses Werkzeug wurde entworfen, um die gründliche, repräsentative und praktisch umsetzbare Bewertung von IDSs per Injektion von Angriffen zu ermöglichen. Wir demonstrieren die Anwendung und den praktischen Wert sowohl von hInjector als auch des vorgeschlagenen Ansatzes durch die Bewertung eines repräsentativen, hypervisor-basierten IDS, das zur Erkennung von Hypercall-Angriffen konzipiert ist. Während wir uns auf die Bewertung der Fähigkeiten von IDSs zur Erkennung von Hypercall-Angriffen fokusieren, kann der vorgeschlagene Ansatz verallgemeinert und in einem breiteren Kontext angewendet werden. Zum Beispiel kann er direkt verwendet werden, um auch Hypervisor-Sicherheitsmechanismen, nämlich etwa Hypercall-Zugangskontrollmechanismen, zu bewerten. Der Ansatz kann auch angewendet werden für die Bewertung von IDSs, die der Erkennung von Angriffen basierend auf Operationen dienen, die eine funktionelle Ähnlichkeit zu Hypercalls aufweisen. Solche Operationen sind z.B. die “input/output control (ioctl)” Aufrufe, die vom “Kernel-based Virtual Machine (KVM)”-Hypervisor unterstützt werden. Für IDSs, die in elastischen virtualisierten Umgebungen eingesetzt werden, kann unser Ansatz zur Injektion von Hypercall-Angriffen in Verbindung mit der von uns vorgeschlagenen Metrik und Messmethodik angewendet werden. Beide können auch unabhängig von den in dieser Arbeit betrachteten Szenarien angewendet werden. Das breite Spektrum von Sicherheitsmechanismen (z.B. hypervisor-basierte IDSs, IDSs eingesetzt als VNFs und Zugangskontrollmechanismen), deren Bewertung von den Beiträgen dieser Arbeit profitieren, spiegelt ihre Praktikabilität wider. KW - intrusion detection KW - evaluation KW - virtualized environments KW - Eindringerkennung KW - Evaluation KW - Virtuelles Netz Y1 - 2016 U6 - http://nbn-resolving.de/urn/resolver.pl?urn:nbn:de:bvb:20-opus-141846 ER -