OPELIX

Die Kommerzialisierung des Internet hat zu rascher Entwicklung zahlreicher Dienstleistungen - wie z.B. Electronic Commerce - geführt, mit denen versucht wird, die Aufmerksamkeit der schon beträchtlichen und ständig wachsenden Internet User Community zu gewinnen. Dienstleistungen werden auf unterschiedliche Weise entwickelt und zur Verfügung gestellt. Es gibt keine grundlegende Theorie, Konzepte oder Prinzipien, die als Richtlinien für die Entwicklung von solchen Dienstleistungen dienen würden. Infolgedessen ist das Internet zu einer chaotischen Umgebung geworden: die Netzwerk-Bandbreite wird verschwendet; die Benutzer sind durch mühsame Suche nach und schwierigen Zugang zu den Dienstleistungen frustriert; die Anbieter haben wenig Möglichkeiten, die potentiellen Kunden effizient zu erreichen. Diese Situation droht, viele potentielle Vorteile des Internet für die Gesellschaft zu verschütten. Das Ziel dieses Projektes ist es, Konzepte, Prinzipien und Protokolle für einen systematischen Entwurf von Internetdienstleistungen zu untersuchen und zu entwickeln. Der Schwerpunkt des Projektes ist es, Information als Dienstleistung und als Ware zur Verfügung zu stellen. Protokolle sind das fundamentale Bindeglied, das die verteilten Dienstleistungen funktionsfähig macht, und Interoperabilität zwischen einzelnen Dienstleistungen ermöglicht. Protokolle bestimmen, ob sich Dienstleistungen an die ständig wachsende Zahl der Benutzer im Internet anpassen können und ob sie die Netzwerkresourcen effizient nutzen. Durch die steigende Bit-Density der im Internet angebotenen Dokumente (wie z.B. Bilder und Video) hat Protokollskalierbarkeit wesentlich an Bedeutung gewonnen. Im Rahmen dieses Projektes werden Protokolle entwickelt und spezifiziert, die das Kreieren von zukünftigem elektronischen Informationsmarkt (Electronic Information Marketplace) ermöglichen. Dieser Markt besteht aus Informationsanbietern, Händlern, Vermittlern (Broker) und Kunden. Im Projekt wird die Anwendung von einer Kombination von mobilen Agenten auf der Benutzerseite, Push-Technologie auf der Anbieterseite, und Zahlungssystemen für Ein/Verkauf von Information als Ware untersucht. Zusätzlich zu Konzepten, Prinzipien und Protokollen wird eine Prototype-Softwareumgebung entwickelt, die eine empirische Evaluierung der Protokolle ermöglicht.

Das Ziel dieses Projekts war die Erforschung neuer Mechanismen zur Sicherung von Computersystemen, wobei der Fokus im Bereich von Intrusion Detection und Intrusion Response gelegen ist. Der erste Forschungsschwerpunkt war die Erkennung von Verteilten Angriffsszenarien, welche nur durch Korrelation der Daten von unterschiedlichen Netzwerkknoten möglich ist. Ein dezentralisierter Ansatz wurde für die Erkennung dieser verteilten Szenarien gewählt, welche mit Hilfe von einer eigens dafür geschaffenen, deklarativen Sprache spezifiziert werden können. Der dezentralisierte Ansatz ist resistent gegen Ausfälle einer zentralen Einheit. Als zweite Errungenschaft konnten die Verarbeitungskapazitäten von Intrusion Detection Systemen erhöht werden (welche derzeit als nicht ausreichend gelten). In unserem Ansatz wird anhand der zu erkennenden Szenarien mit Hilfe von Clustering-Algorithmen ein Entscheidungsbaum konstruiert, der einen parallelen Vergleich von Daten mit den zu suchenden Szenarien ermöglicht. Snort-NG implementiert diesen parallelen Ansatz, wodurch die Skalierbarkeit bezüglich der Anzahl der zu verwendenden Szenarien stark verbessert werden konnte. Das dritte Resultat dieses Projekts ist eine Methode, um unbekannte Attacken zu erkennen ohne die Wahrscheinlichkeit von Fehlalarmen maßgeblich zu erhöhen. Für gewöhnlich beschreibt ein Szenario das exakte Aussehen einer Attacke, wodurch unbekannte Attacken nicht erkannt werden können. Wir führten das Konzept von Abstrakten Signaturen ein, welche die Gemeinsamkeiten von ganzen Klassen von Attacken beschreiben und konstruierten zwei Instanzen. Ein Sensor zur Entdeckung von Buffer-Overflow-Attacken (für den Apache- Webserver) und ein Sensor zum Aufspüren von Würmern (realisiert als Snort-Plugin) wurden implementiert. Als viertes Ergebnis konnte der Einsatz von Verteidigungsmechanismen unter dem Gesichtspunkt der Nutzbarkeit von Systemen sicher gemacht werden. Gängige Systeme berücksichtigen die Effekte von gesetzen Abwehrmechanismen nicht, wodurch Maßnahmen mehr Schaden als Nutzen haben können. Mit Hilfe eines Netzwerkmodells konnten die Effekte simuliert werden. Event-basierte Systeme sind parallele Systeme, da durch das Ankündigen von Events die Subscribers zu Programmabläufen angestoßen werden. Klarerweise müssen diese Systeme deadlock-frei sein, um von Nutzen zu sein. Wir haben eine Semantik auf einer Event-basierte Programmiersprache erstellt, die es erlaubt, Garantien über die Deadlockfreiheit von Systemen abzugeben.