Informations- visualisierung
Thema: 8. Security Visualisierung Dozent: Dr. Dirk Zeckzer
zeckzer@informatik.uni-leipzig.de Sprechstunde: nach Vereinbarung
Umfang: 2
Informationsvisualisierung, WS 2016/2017 8-2
Übersicht
8. Security Visualisierung
8.1 Einleitung
8.2 Netzwerkanalysen 8.3 Port Aktivitäten
8.4 IDS Alarm Analyse 8.5 Malware-Erkennung 8.6 Sonstige
8.1 Einleitung Sicherheit
Safety: das System kann seiner Umwelt nicht schaden
Security: seine Umwelt kann dem System nicht schaden
Hier: Security von Computern und Computernetzwerken
Informationsvisualisierung, WS 2016/2017 8-4
8.1 Einleitung Sicherheit vor
Blockaden (denial-of-service Attacken)
Spionage (port scans)
Einbrüchen, Diebstahl von Daten (host intrusion, network intrusion)
Netzwerklast, Belästigung (spam-Emfang und –Versand)
Unbefugter Benutzung von Rechen-, Platz- und Netzwerkkapazitäten
Schutz der Benutzer vor Spionage, Diebstahl, Belästigung
8.1 Einleitung Literatur
Raffael Marty, Applied Security Visualization, Addison-Wesley, 2009.
IEEE Symposium on Visualization for Cyber Security
Informationsvisualisierung, WS 2016/2017 8-6
Claessen and Wijk, InfoVis (2011)
8.2 Netzwerkanalysen
Netzwerkanalysen
Analyse von Netzwerken
Verbindungen zwischen Computern und deren Ports
Unterscheidung nach
Reservierte Ports – Freie Ports
Internes Netz – Externes Netz
Zulässiges Verhalten – Auffälliges Verhalten
Weitere Attribute
Zeit
Umfang der Übertragenen Information
8.2 Netzwerkanalysen
Informationsvisualisierung, WS 2016/2017 8-8
Claessen and Wijk, InfoVis (2011)
8.2 Netzwerkanalysen
Claessen and Wijk, InfoVis (2011)
11 Dimensionen:
Source IP
Source Port
Destination IP
Destination Port
Packets
Start time
End time
Duration
Total Duration
Bytes
8.2 Netzwerkanalysen
Informationsvisualisierung, WS 2016/2017 8-10
8.2 Netzwerkanalysen Glatz (2010)
5-partiter Graph (von links nach rechts):
local IP
protocol
local port
remote port
remote IP
Links:
Byte counts (ports)
Flow count (remote port – remote IP)
8.2 Netzwerkanalysen Yin et al. (2004)
Analyse von Netzwerk- verkehr zwischen inter- nen und externen Netz- werken
Ziel: ungewöhnlichen Netzwerkverkehr zu
finden und zu analysieren
Parallele Koordinaten
Informationsvisualisierung, WS 2016/2017 8-12
8.2 Netzwerkanalysen
Yin et al. (2004)
8.2 Netzwerkanalysen
Yin et al. (2004)
Informationsvisualisierung, WS 2016/2017 8-14
8.2 Netzwerkanalysen
Yin et al. (2004)
8.2 Netzwerkanalysen
Yin et al. (2004)
Informationsvisualisierung, WS 2016/2017 8-16
8.2 Netzwerkanalysen
Conti and Abdullah (2004)
Erzeuge Fingerabdrücke:
Parallel Coordinate Plot
Length vs Time plot
Links nach rechts:
Externer Port
Externe IP
Interne IP
Interner Port
Scanline 1.01
8.2 Netzwerkanalysen
Conti and Abdullah (2004)
Erzeuge Fingerabdrücke:
Parallel Coordinate Plot
Length vs Time plot
Links nach rechts:
Externer Port
Externe IP
Interne IP
Interner Port
Superscan 4.0
Informationsvisualisierung, WS 2016/2017 8-18
Chen et al. (2014)
8.2 Netzwerkanalysen
Chen et al. (2014)
8.2 Netzwerkanalysen
Informationsvisualisierung, WS 2016/2017 8-20
Chen et al. (2014)
8.2 Netzwerkanalysen
8.2 Netzwerkanalysen
Chen et al. (2014)
Informationsvisualisierung, WS 2016/2017 8-22
Chen et al. (2014)
8.2 Netzwerkanalysen
8.2 Netzwerkanalysen Ball et al. (2004)
Farbkodierung:
grün: ausgehend
rot: eingehend
blau: bi-direktional
Grid Grid cell
Alle internen hosts
Ein interner host
Ein interner host
Ein Port
Informationsvisualisierung, WS 2016/2017 8-24
8.2 Netzwerkanalysen Ball et al. (2004)
a) Beispiel fan-in
Ping sweep by an external computer on a subnet in the home network.
b) Beispiel fan-out Many different
external computers are downloading information from a server on the home network.
8.2 Netzwerkanalysen Ball et al. (2004)
a) Klassifikation von hosts
b) Beispiel
network map mit 8513 IP Adressen
Informationsvisualisierung, WS 2016/2017 8-26
8.2 Netzwerkanalysen Ball et al. (2004)
3D Layout unter Verwendung der Klassifikation
Kodierung:
Farbe
Dicke
Struktur
Pulsieren
Helligkeit
8.2 Netzwerkanalysen Ball et al. (2004)
Kodierung von Ports
Informationsvisualisierung, WS 2016/2017 8-28
8.2 Netzwerkanalysen
Godall et al. (2005)
Visualisierungsmatrix (Zeit – host)
Filter-Panel
Port-Aktivität
Navigation (Zeit)
Legende: Farben und Zeitintervall der Spalte
Tabelle mit allen Paketen für einen ausgewählten host
Details für ausgewählte Zeile der Tabelle
8.2 Netzwerkanalysen Noel and
Jajodia (2004)
Angriffsgraph, 14 Computer
Informationsvisualisierung, WS 2016/2017 8-30
8.2 Netzwerkanalysen Noel and
Jajodia (2004)
Aggregierter Angriffsgraph, 14 Computer
8.2 Netzwerkanalysen Prole et al. (2008)
(a) Baum der entdeckten Geräte
(b) Geographische Visualierung (Ort der Geräte, & (c))
(d) Transmitter: Typ und Verschlüsselung
(e) Netzwerk: Verbindung zwischen Transmittern
(f) Verteilung der Kanäle
(g) Details des Netzwerkes und der Clients
Informationsvisualisierung, WS 2016/2017 8-32
8.2 Netzwerkanalysen
Angelini et al. (2015)
8.2 Netzwerkanalysen
Angelini et al. (2015)
Edge colors:
red: attack sequence,
shaded red: most probable precomputed attack path
orange: any other
precomputed attack paths, black: do not belong to any attack path
Informationsvisualisierung, WS 2016/2017 8-34
8.3 Port Aktivitäten Port Aktivitäten
Spezielle Ansätze zur Analyse von Portzugriffen und Verbindungen
Eingehende und ausgehende Verbindungen
8.3 Port Aktivitäten Janies (2008)
Falsche Konfiguration.
Ein host kontaktiert 75 Email-Server innerhalb kurzer Zeit.
Informationsvisualisierung, WS 2016/2017 8-36
8.3 Port Aktivitäten Janies (2008)
SMTP Relay
Korrektes Verhalten
8.3 Port Aktivitäten Janies (2008)
Scan reservierter Ports Zyklen in der
Portverwendung sind erkennbar
Informationsvisualisierung, WS 2016/2017 8-38
8.4 IDS Alarm Analyse IDS Alarm Analyse
IDS: Intrusion Detection System (Einbruchs-Erkennungs-System)
Meist basierend auf Verhaltensanalysen
Netzwerk-Verkehr
Port-Benutzung
Ressourcen-Verwendung auf einzelnen Rechner
Arbeitsspeicher
CPU-Auslastung
Automatische Erkennung
Viele sogenannte „false-positives“ (Falsche Alarmmeldungen)
Analyse der gemeldeten Auffälligkeiten notwendig
8.4 IDS Alarm Analyse Abdullah et al. (2005)
Unterteilung des Platzes:
Scatterplot mit wieder- holter y-Achse
Beispiel mit 8 Achsen
2.5 Class B IP Adressbereich
Purpur-Linie: Start Class B
Violette Linie: Start Abteilung
24 Stunden mit gemeldeten Alarmen
Informationsvisualisierung, WS 2016/2017 8-40
8.4 IDS Alarm Analyse
Abdullah et al. (2005)
8.4 IDS Alarm Analyse
Abdullah et al. (2005)
Informationsvisualisierung, WS 2016/2017 8-42
8.4 IDS Alarm Analyse
Abdullah et al. (2005)
8.4 IDS Alarm Analyse
Oline and Reiners (2005)
Untere Zeile:
Links: Woche
Mitte: Tag
Rechts: Stunde
Jedes Quadrat entspricht einem Alarm.
Wörterbuchattacke
Informationsvisualisierung, WS 2016/2017 8-44
8.4 IDS Alarm Analyse
Oline and Reiners (2005)
Visualisierung von Trends
Zeit
Bytes
Port
8.4 IDS Alarm Analyse
Oline and Reiners (2005)
Visualisierung von Trends
Zeit
Bytes
Port
udpstorm Attacke
Informationsvisualisierung, WS 2016/2017 8-46
Alsaleh et al. (2013)
Scatterplot:
Datum (x-Achse)
Zeit (y-Achse)
Typ (Glyph, Farbe) des Angriffs
8.4 IDS Alarm Analyse
8.4 IDS Alarm Analyse Alsaleh et al. (2013)
Baum-Ansicht:
Ort
Subnetz
IP
des Angriffs
Informationsvisualisierung, WS 2016/2017 8-48
8.4 IDS Alarm Analyse Alsaleh et al. (2013)
Häufigkeit des Angriffs
8.4 IDS Alarm Analyse Alsaleh et al. (2013)
Detailansicht IP, 29 Angriffe
Informationsvisualisierung, WS 2016/2017 8-50
8.4 IDS Alarm Analyse Alsaleh et al. (2013)
Treemap
Hervorgehoben sind
Angriffsarten
IP-Adressen
8.4 IDS Alarm Analyse Alsaleh et al. (2013)
Cluster der Angriffe Maß: Anzahl der
verdächtigen Anfragen
Informationsvisualisierung, WS 2016/2017 8-52
8.4 IDS Alarm Analyse Alsaleh et al. (2013)
Ringansicht
IP: Achse
Ring: Tag der
Entdeckung eines Bots
Darstellung: 17 Tage
8.4 IDS Alarm Analyse Alsaleh et al. (2013)
Häufigkeit von Angriffen
IP:
y-Achse
Tag des Monats:
x-Achse
Häufigkeit:
Farbe einer Spalte
Angriff:
einzelner Punkt
Informationsvisualisierung, WS 2016/2017 8-54
8.4 IDS Alarm Analyse Alsaleh et al. (2013)
Parallel Koordinaten
IP
Verschiedene Attribute
8.5 Malware-Erkennung
Xia (2008): System Call Traces
Informationsvisualisierung, WS 2016/2017 8-56
8.5 Malware-Erkennung
Wüchner (2014): Dateizugriffe
8.5 Malware-Erkennung
Quist (2009): Programmanalyse
Viren- und Schädlingserkennung
Grundlage: IDA Pro (disassembly tool)
3D-Graph zum finden von Anomalien
Informationsvisualisierung, WS 2016/2017 8-58
8.5 Malware-Erkennung
Quist (2009): Programmanalyse
mit Malware-Code
8.5 Malware-Erkennung
Nataraj (2011)
Informationsvisualisierung, WS 2016/2017 8-60
8.5 Malware-Erkennung Gove (2014)
Malware-Klassifikation:
1) Predicted capabilities.
2) Printable strings.
3) DLL imports.
4) External function calls.
5) Image resources.
6) Tags applied to samples by system users.
7) IP addresses.
8) Hostnames.
9) Registry keys
8.5 Malware-Erkennung
Long (2014)
Informationsvisualisierung, WS 2016/2017 8-62
8.6 Sonstige Fink (2005):
Kombination Host- und Netzwerk-Analyse
8.6 Sonstige
Conti et al. (2005): Email-Analyse
Informationsvisualisierung, WS 2016/2017 8-64
8.6 Sonstige
Conti et al. (2005): Email-Analyse
8.6 Sonstige
Leschke (2012)
Windows shadow Data (Vista & Windows 7)
Dateisystem Informationen Kodierung
Weiß: mehr existierend
noch existierend
Blau: existierend
Rot: nicht
Informationsvisualisierung, WS 2016/2017 8-66
8.6 Sonstige
Leschke (2012): Benutzer-Tracking
8.6 Sonstige
Leschke (2012): Benutzer-Tracking
Informationsvisualisierung, WS 2016/2017 8-68
8.6 Sonstige
Network Einbruchserkennung mittels 3D audio-visueller Immersion
Logfile Analyse
Bayes-Klassifikation von Logfiles
Kodierung der Klassifikation mittels Hintergrundfarbe
Zeige das Logfile mit entsprechend eingefärbtem Hintergrund an
8.6 Sonstige
Malware-Analyse
Source Code Analyse
Compiled Code Analyse
Execution trace Analyse
PDF-file Analyse
Virenerkennung unter Verwendung von SOMs
Informationsvisualisierung, WS 2016/2017 8-70
8.6 Sonstige
Analyse von IP flows
Analyse von Firewall-Konfigurationen
Email-Analyse unter der Verwendung von Graphen
8.6 Sonstige
Forensische Analyse
Visuelles Filtern und Annotieren für forensische Netzwerk-Einbruchs- Analyse
Analyse von textuellen Inhalten