FIDeS

Ziel des Forschungs­projektes FIDeS (Frühwarn- und Intrusion Detection System auf der  Basis von kombinierten Methoden der KI) ist die Entwicklung eines ausgereiften Assistenz­systems zur Früherkennung von Angriffen aus dem Internet, aber auch in lokalen Netzen. Im Rah­men dieses Projektes werden nicht nur die verbreiteten Internet-Protokolle wie z.B. HTTP und FTP behandelt, sondern auch neuere Protokolle wie z.B. Protokolle in Tele­kommunikationsnet­zen, VoIP-Protokolle oder SOAP. Hierdurch können neben An­griffen auf Internet­kno­ten auch Sicherheits­vorfälle, die von mobilen Endgeräten ausge­hen, sowie miss­bräuchli­che Zugriffe in sicherheitskriti­schen, IT-gestützten Ge­schäftspro­zessen von Unter­nehmen erkannt werden.

Herkömmliche IDS und insbesondere IDS zur Anomalieerkennung verursachen häufig Fehlalarme (false positives) oder erkennen Angriffe nicht (false negatives). In FIDeS wird komplementär zu anomalie-basierten IDS ein Frühwarnsystem auf Basis von heteroge­nen Methoden der Künstlichen Intelligenz entwickelt, das einem Sicherheits­verant­wortli­chen bei der Analyse von Angriffen und der Durchführung von Gegenmaß­nahmen eine angemessene Unterstützung gibt. Es steht also mehr die Assistenz (z.B. konkrete Handlungsanweisungen im Falle von Angriffen) im Vordergrund als die An­griffserken­nung. Das Spektrum der dabei eingesetzten KI-Methoden reicht von der deklarativen Wissensrepräsentation über die Generierung von Erklärungen bis hin zur kognitiven As­sistenz. Eine Integration mit einem System zur anomaliebasierten Angriffserkennung ist vorge­sehen.

Insbesondere weist das Assistenzsystem zur Frühwarnung die folgenden Merkmale auf:

·               Bereitstellung von plausiblen (nachvollziehbaren) Erklärungen für einen Angriff,

·               deklarative Beschreibung von Angriffswissen, angreifbaren Systemen und System­komponenten sowie von Gegenmaßnahmen,

·               interaktive Assistenz bei der Durchführung und Auswahl von Gegenmaßnahmen für Angriffe,

·               Vorhersage über den weiteren Verlauf eines Angriffs (inkl. Plausibilitätsüberprü­fung der Vorhersage),

·               Skalierbarkeit für Erklärungen und Vorhersagen (z.B. in Abhängigkeit des erwarte­ten Risikos),

·               Bereitstellung einer Wissensdatenbank (mit Beschreibungen über Angriffe  und Ge­genmaßnahmen/Handlungsanweisungen),

·               Wartbarkeit und Verständlichkeit des hinterlegten Wissens über Angriffe und Ge­genmaßnahmen,

·               Erweiterbarkeit des Systems um neue Angriffe.

Es wird ferner ein Simulator entwickelt, der Angriffsszenarien unter realistischen Zeit- und System-Constraints erzeugen kann. Dieser Simulator dient zur funktionalen Validation und zur Sicherstellung des hinreichenden Abdeckungsgrades des Frühwarnsystems.

Letztendlich werden während der gesamten Entwicklung des Frühwarnsystems auch Daten­schutzanforderungen berücksichtigt. So darf ein Provider aus datenschutzrechtlichen Gründen im Allgemeinen nicht die Inhalte von Datenpaketen anschauen.
 

Laufzeit: 01.09.2008 - 31.08.2011
Projektpartner: Fachhochschule Gelsenkirchen, T-System Enterprise Services GmbH, ZF Friedrichshafen AG, nicos AG, mobile solution group GmbH, algorithmica technologies GmbH.
Förderer: BMBF

Weitere Informationen: http://www.fides-security.org/projektbeschreibung.php