Für die Auswertung der gesammelten Protokolldaten (siehe About Security #37) gibt es mehrere Möglichkeiten: Eine automatische Auswertung kann beim Erkennen einer Sicherheitsverletzung Alarm schlagen. Dies wird zum Beispiel bei Intrusion-Detection-Systemen ausgenutzt, siehe About Security #42 bis #49. Für die manuelle Auswertung gibt es verschiedene Hilfsprogramme, die die Daten passend aufbereiten.

Automatische Auswertung

Für die automatische Auswertung der Protokollinformationen stehen zwei Auswertungskonzepte zur Verfügung:

Erkennung bekannter sicherheitsrelevanter Ereignisse
Es wird vorab festgelegt, welche bereits bekannten sicherheitsrelevanten Ereignisse bzw. welche Folgen von Ereignissen eine Verletzung der Sicherheitsrichtlinien sind. Die Protokolldaten werden mithilfe eines Expertensystems nach diesen Ereignissen bzw. Ereignisfolgen untersucht.

Mögliche sicherheitsrelevante Ereignisse sind zum Beispiel

• die fehlerhafte Authentifizierung eines Benutzers beim Application Level Gateway,
• die Verwendung verbotener Befehle oder
• verbotene Verbindungsversuche zu Systemen im geschützten Netz.

Definition der sicherheitsrelevanten Ereignisse
Ein Problem dieses Auswertungskonzepts ist die Entscheidung, welche Ereignisse bzw. Ereignisfolgen als Angriff betrachtet werden und welche nicht. Eine mögliche Strategie ist zum Beispiel:

• Ein einmalig fehlgeschlagener Authentifizierungsversuch oder der einmalige Aufruf einer verbotenen Aktion ist ein Irrtum des Benutzers.
• Zwei derartige Ereignisse hintereinander in einem bestimmten Zeitraum sind Zufall.
• Drei oder mehr derartige Ereignisse in einem bestimmten Zeitraum sind eine mögliche Verletzung der Sicherheitsrichtlinien und entsprechende Maßnahmen werden eingeleitet.

Erkennung abweichender Ereignisse (Anomalien)
Bei diesem Konzept wird versucht, über die Erkennung von vom Normalfall abweichenden Ereignissen Sicherheitsverletzungen zu erkennen. Dabei wird davon ausgegangen, dass gravierende Abweichungen vom normalen Verhalten eine Verletzung der Sicherheitsrichtlinien darstellen. Die Verhaltensabweichungen können für die einzelnen Benutzer, Programme, Dienste oder Kommunikationsverbindungen erkannt werden.

Voraussetzung für die Erkennung von Abweichungen ist die Erfassung des jeweils normalen, typischen, regulären Verhaltens der Untersuchungsobjekte in so genannten Referenzprofilen. Dies kann auf Basis statistischer Verfahren oder aufgrund individueller Erfahrungswerte geschehen. Die Referenzprofile werden dann mit den passend aufbereiteten Protokolldaten verglichen. Beim Überschreiten einer festgelegten Toleranz für Abweichungen wird eine mögliche Verletzung der Sicherheitsrichtlinien angenommen und entsprechende Maßnahmen werden eingeleitet. Dabei können auch Kombinationen verschiedener Merkmale berücksichtigt werden.

Mögliche Abweichungen vom Normalfall sind zum Beispiel

• überdurchschnittliche Fehlerraten bei der Authentifizierung,
• überdurchschnittliche Inanspruchnahme eines Dienstes,
• überdurchschnittliche Verbindungsdauern oder ungewöhnliche Verbindungszeiten,
• überdurchschnittlich häufige Verstöße gegen Filterregeln.

Eine Sicherheitsverletzung kann zum Beispiel vorliegen, wenn

• zu einer ungewöhnlichen Zeit,
• in einem bestimmten Zeitraum überdurchschnittlich viele fehlgeschlagene Authentifizierungsversuche verschiedener Benutzer registriert werden,
• die eine Verbindung zu einem bestimmten System im geschützten Netz aufbauen wollen.

Problematisch ist dabei die Feinabstimmung: Sind die festgelegten Toleranzen zu gering, kommt es zu einer Vielzahl von Fehlalarmen. Sind sie zu groß, sinkt die Wahrscheinlichkeit für die Erkennung von Sicherheitsverletzungen.

Bewertung der Konzepte
Bei der Erkennung bekannter sicherheitsrelevanter Ereignisse wird eindeutig festgestellt, ob eine Sicherheitsverletzung vorliegt und um welche es sich handelt. Auf Grund dieser Informationen können dann geeignete Maßnahmen eingeleitet werden.

Bei der Erkennung abweichender Ereignisse können auch bisher unbekannte sicherheitsrelevante Ereignisse erkannt werden. Im Gegenzug werden Fehlalarme erzeugt.

Eine Kombination beider Konzepte erhöht die Wahrscheinlichkeit für das Erkennen von Sicherheitsverletzungen.

Manuelle Auswertung

Zur Unterstützung der manuellen Auswertung stehen verschiedene Hilfsprogramme (Logfile Analyzer) zur Verfügung. Diese stellen die protokollierten Daten auf verschiedene Weisen dar und sind meist in der Lage, mithilfe regulärer Ausdrücke relevante Daten aus den Protokollen herauszufiltern.

Mögliche Darstellungsformen sind zum Beispiel

• Gruppierung und/oder Markierung zusammengehörender Daten
• Ausblenden irrelevanter Daten, beispielsweise aller zu einer erfolgreichen Aktion gehörenden Einträge
• statistische Analysen, zum Beispiel "Wie oft trat Meldung x auf?"

Die manuelle Auswertung der Protokolle wird in der nächsten Folge vertieft.

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Logfiles"

• About Security #37: Logfiles – Welche Daten speichern?
• About Security #38: Logfiles – Wie auswerten?
• About Security #39: Paketfilter-Logfiles manuell auswerten
• About Security #40: HTTP-Proxy-Logfiles manuell auswerten, 1
• About Security #41: HTTP-Proxy-Logfiles manuell auswerten, 2