Ziel des Vorhabens

EXPLOIDS (Explicit Privacy-Preserving Host Intrusion Detection System) ist die methodische Forschung zur nicht-manipulierbaren Erkennung und Aufklärung von IT-Sicherheitsvorfällen durch die Einführung eines zuverlässigen Host Intrusion Detection Systems (HIDS). Dieses soll die Vorteile Netzwerk-basierter und Host-basierter Erkennungssysteme kombinieren. Eine sichere Datenaufzeichnung dient hierbei als Grundlage zur Erkennung von Angriffen auf die IT-Infrastruktur und der nachgelagerten Aufklärung. Die wesentlichen Hauptziele sind:

Die zuverlässige und nicht-manipulierbare Datenerhebung über alle Software- und Hardwareschichten eines Computersystems hinweg.
Die Datenschutz bewahrende Speicherung und Auswertung der Sensordaten.
Die aussagekräftige Visualisierung zur Angriffserkennung sowie zur juristischen Verwertung der erhobenen Sensordaten und Analysen.

Die Datenerhebung soll dabei mehrschichtig und kontinuierlich über bereitgestellte Sensorkomponenten auf Applikations-, Betriebssystem-, Hypervisor-, und Hardwareebene erfolgen. Im Projekt werden Sicherheitsmechanismen zum Schutz der Sensoren und Datenerfassung wie z.B. Spezialhardware und Hypervisor-Erweiterungen entwickelt. Die Datenauswertung setzt auf der Datenerhebung auf und soll rückwirkend für große Datenbestände (Big Data) wie z.B. komplette Instruktions-Traces, Netzwerkkommunikation und Inter-Prozesskommunikation gewährleistet werden. Der Datenschutz wird durch Anonymisierungsverfahren und/oder Verschlüsselung der gespeicherten Datensätze sowie durch ein neuartiges Privacy-erhaltendes Datenbanksystem sichergestellt. Zur Erkennung und Aufklärung von Angriffen werden gemessene Daten Graph-orientiert verarbeitet, verknüpft und analysiert, um Angriffsmuster zu erkennen. Zur Unterstützung der Analyse und der juristischen Verwertbarkeit werden geeignete Visualisierungstechniken entwickelt und in das vorgestellte HIDS-System integriert.