Loading…
Group-based IDS Collaboration Framework
A Case Study of the Artificial Immune System
Bye, Rainer
Autonomic Computing (AC) verfolgt die Idee von sich selbst verwaltenden computerbasierten Systemen, die gemäß vorab festgelegten Richtlinien agieren. Ein wichtiger Aspekt ist Self-Protection, der Selbstschutzgedanke, der auch die Erkennung von (verteilten) Angriffen beinhaltet. Anomaliebasierte Angriffserkennungssysteme (IDS), wie das Artificial Immune System (AIS) werden als geeignet für AC erachtet um bösartige Aktivitäten selbstständig zu erkennen. Sie unterliegen aber Einschränkungen wie hohen Fehlalarmraten sowie einer fehlenden Skalierbarkeit von Trainings- und Erkennungsalgorithmen.
In der letzten Dekade sind Collaborative IDS (CIDS) als eine vielversprechende Lösung für Angriffserkennung in Erscheinung getreten. CIDS profitieren von der verteilten Lösung von Problemen, der Teamarbeit sowie Korrelation von Information aus verschiedenen Quellen. Der Einsatz von CIDS bedeutet aber auch neue Herausforderungen wie die Verwaltung von Kollaboration sowie durch sie induzierte Angriffsmöglichkeiten.
Diese Arbeit beschreibt ein gruppenbasiertes Kollaborationsframework zur Realisierung von CIDS am Beispiel von Softwareagenten, die AIS-basierte Erkennungsalgorithmen ausführen. Dieses Framework unterstützt bei einer skalierbaren Erkennung sowie der Verbesserung der Fehlalarmraten. Das kollaborative AIS (CAIS) stellt weitere Anforderungen an das Framework. Dementsprechend integrieren wir ein Kommunikationsprotokoll zum anonymen Informationsaustausch sowie einen Algorithmus zur Auswahl passender Gruppen von Softwareagenten anhand einer Kollaborationsrichtlinie. Des Weiteren präsentieren wir Werkzeuge für die Bewertung des Gesamtsystems basierend auf analytischen Modellen und Simulation.
Das resultierende Kollaborationsframework deckt den kompletten Lebenszyklus eines verteilten, anomaliebasierten IDS ab: Initialisierung, Organisation, Erkennung und Reaktion. Die das CAIS realisierenden Software-Agenten tragen somit zur Selbstverwaltung gemäß des Autonomic Computing im Rahmen der Selbstschutzkomponente bei.
Self-protection is, as defined by IBM, one of the four pillars of self management in the context of autonomic computing (AC). One aspect of self-protection is the detection of attacks often originating from multiple sources and targeting multiple networked systems. Anomaly-based intrusion detection systems (IDS) such as the artificial immune system (AIS) are considered feasible in an AC environment, but suffer from various problems such as high false alarm rates or missing scalable training and detection algorithms.
In the last decade, collaborative intrusion detection systems (CIDS) have emerged as a promising solution to confront IDS-related challenges using the information from multiple sources to gain a better understanding of objective and impact of complex attacks. CIDS benefit from collaborative aspects, namely architectural advantages such as scalability and the benefit of teamwork. However, collaboration needs to be administrated efficiently, and a CIDS raises new exploitation opportunities for adversaries.
In this work, we investigate a group-based collaboration framework for IDS using the example of the AIS resulting in a novel architecture: the collaborative AIS (CAIS). We provide a scheme to support the AIS for a (i) realization of scalable training and detection as well as the (ii) improvement of false positive detection rates with the help of collaboration. A distributed AIS approach poses requirements for the collaboration framework. Accordingly, we incorporate an anonymity scheme to confront adversarial opportunities and provide a group formation algorithm to select the best fitting groups of collaborators according to a collaboration policy. We also introduce tools for the evaluation of the overall approach based on analytical models and simulation.
The resulting collaboration framework covers the complete life cycle of a distributed anomaly-based intrusion detection system: initialization, organization, detection and response. The CAIS is realized with the help of the developed framework and composed of software agents. These software agents contribute to self-protection in the scope of autonomic computing.
