Modeling and describing misuse scenarios using signature-nets and event description language

In the area of intrusion detection the misuse detection approach assumes that relevant activity violating security policies is known a priori and it provides for fast intrusion detection with low false alarm rate, thereby complementing the anomaly detection approach. Hence, misuse detection is an indispensable ingredient to a suitable strategy for intrusion detection. Misuse detection calls for a comprehensive framework for modeling and analysing attack activity. This contribution presents the highly expressive and modular Signature-net framework. Signature-nets allow for visual modeling and simulation of attack detection signatures, as well as for formal analysis. The framework lends itself to highly optimized implementation and may be flexibly deployed, e. g., for network-based and host-based intrusion detection or alarm correlation.

Bei Intrusion Detection basiert der Missbrauchserkennungsansatz auf der Annahme, dass Angriffsaktivitäten a priori bekannt sind und erlaubt eine schnelle Angriffserkennung bei einer geringen Rate falscher Alarme. Missbrauchserkennung gleicht somit die Schwächen einer Anomalieerkennung aus und ist eine unverzichtbare Komponente für eine geeignete Angriffserkennungsstrategie. Für die Missbrauchserkennung wird ein umfassendes Rahmenwerk zur Modellierung und Analyse von Angriffsaktivitäten benötigt. Dieser Beitrag präsentiert das ausdrucksstarke und modulare Rahmenwerk der Signatur-Netze. Signatur-Netze erlauben die grafische Modellierung und Simulation von Angriffsabläufen, ebenso wie deren formale Analyse. Das Rahmenwerk lässt sich stark optimiert implementieren und flexibel einsetzen, z. B. für die Angriffserkennung in Netzwerken und Rechnern und für die Alarmkorrelation.