Sprechstunde:nach Vereinbarung Informations-visualisierung

(1)

Informations- visualisierung

Thema: 8. Security Visualisierung Dozent: Dr. Dirk Zeckzer

zeckzer@informatik.uni-leipzig.de Sprechstunde: nach Vereinbarung

Umfang: 2

(2)

Informationsvisualisierung, WS 2016/2017 8-2

Übersicht

8. Security Visualisierung

8.1 Einleitung

8.2 Netzwerkanalysen 8.3 Port Aktivitäten

8.4 IDS Alarm Analyse 8.5 Malware-Erkennung 8.6 Sonstige

(3)

8.1 Einleitung Sicherheit

 Safety: das System kann seiner Umwelt nicht schaden

 Security: seine Umwelt kann dem System nicht schaden

Hier: Security von Computern und Computernetzwerken

(4)

8.1 Einleitung Sicherheit vor

 Blockaden (denial-of-service Attacken)

 Spionage (port scans)

 Einbrüchen, Diebstahl von Daten (host intrusion, network intrusion)

 Netzwerklast, Belästigung (spam-Emfang und –Versand)

 Unbefugter Benutzung von Rechen-, Platz- und Netzwerkkapazitäten

Schutz der Benutzer vor Spionage, Diebstahl, Belästigung

(5)

8.1 Einleitung Literatur

 Raffael Marty, Applied Security Visualization, Addison-Wesley, 2009.

 IEEE Symposium on Visualization for Cyber Security

(6)

Claessen and Wijk, InfoVis (2011)

8.2 Netzwerkanalysen

(7)

Netzwerkanalysen

 Analyse von Netzwerken

 Verbindungen zwischen Computern und deren Ports

 Unterscheidung nach

 Reservierte Ports – Freie Ports

 Internes Netz – Externes Netz

 Zulässiges Verhalten – Auffälliges Verhalten

 Weitere Attribute

 Zeit

 Umfang der Übertragenen Information

8.2 Netzwerkanalysen

(8)

Claessen and Wijk, InfoVis (2011)

8.2 Netzwerkanalysen

(9)

Claessen and Wijk, InfoVis (2011)

11 Dimensionen:

 Source IP

 Source Port

 Destination IP

 Destination Port

 Packets

 Start time

 End time

 Duration

 Total Duration

 Bytes

8.2 Netzwerkanalysen

(10)

8.2 Netzwerkanalysen Glatz (2010)

5-partiter Graph (von links nach rechts):

 local IP

 protocol

 local port

 remote port

 remote IP

Links:

 Byte counts (ports)

 Flow count (remote port – remote IP)

(11)

8.2 Netzwerkanalysen Yin et al. (2004)

 Analyse von Netzwerk- verkehr zwischen internen und externen Netz- werken

 Ziel: ungewöhnlichen Netzwerkverkehr zu

finden und zu analysieren

 Parallele Koordinaten

(12)

8.2 Netzwerkanalysen

Yin et al. (2004)

(13)

8.2 Netzwerkanalysen

Yin et al. (2004)

(14)

8.2 Netzwerkanalysen

Yin et al. (2004)

(15)

8.2 Netzwerkanalysen

Yin et al. (2004)

(16)

8.2 Netzwerkanalysen

Conti and Abdullah (2004)

Erzeuge Fingerabdrücke:

 Parallel Coordinate Plot

 Length vs Time plot

Links nach rechts:

 Externer Port

 Externe IP

 Interne IP

 Interner Port

Scanline 1.01

(17)

8.2 Netzwerkanalysen

Conti and Abdullah (2004)

Erzeuge Fingerabdrücke:

 Parallel Coordinate Plot

 Length vs Time plot

Links nach rechts:

 Externer Port

 Externe IP

 Interne IP

 Interner Port

Superscan 4.0

(18)

Chen et al. (2014)

8.2 Netzwerkanalysen

(19)

Chen et al. (2014)

8.2 Netzwerkanalysen

(20)

Chen et al. (2014)

8.2 Netzwerkanalysen

(21)

8.2 Netzwerkanalysen

Chen et al. (2014)

(22)

Chen et al. (2014)

8.2 Netzwerkanalysen

(23)

8.2 Netzwerkanalysen Ball et al. (2004)

 Farbkodierung:

 grün: ausgehend

 rot: eingehend

 blau: bi-direktional

Grid ^{Grid cell}

Alle internen hosts

Ein interner host

Ein Port

(24)

8.2 Netzwerkanalysen Ball et al. (2004)

a) Beispiel fan-in

Ping sweep by an external computer on a subnet in the home network.

b) Beispiel fan-out Many different

external computers are downloading information from a server on the home network.

(25)

8.2 Netzwerkanalysen Ball et al. (2004)

a) Klassifikation von hosts

b) Beispiel

network map mit 8513 IP Adressen

(26)

8.2 Netzwerkanalysen Ball et al. (2004)

3D Layout unter Verwendung der Klassifikation

Kodierung:

 Farbe

 Dicke

 Struktur

 Pulsieren

 Helligkeit

(27)

8.2 Netzwerkanalysen Ball et al. (2004)

Kodierung von Ports

(28)

8.2 Netzwerkanalysen

Godall et al. (2005)

 Visualisierungsmatrix (Zeit – host)

 Filter-Panel

 Port-Aktivität

 Navigation (Zeit)

 Legende: Farben und Zeitintervall der Spalte

 Tabelle mit allen Paketen für einen ausgewählten host

 Details für ausgewählte Zeile der Tabelle

(29)

8.2 Netzwerkanalysen Noel and

Jajodia (2004)

Angriffsgraph, 14 Computer

(30)

8.2 Netzwerkanalysen Noel and

Jajodia (2004)

Aggregierter Angriffsgraph, 14 Computer

(31)

8.2 Netzwerkanalysen Prole et al. (2008)

(a) Baum der entdeckten Geräte

(b) Geographische Visualierung (Ort der Geräte, & (c))

(d) Transmitter: Typ und Verschlüsselung

(e) Netzwerk: Verbindung zwischen Transmittern

(f) Verteilung der Kanäle

(g) Details des Netzwerkes und der Clients

(32)

8.2 Netzwerkanalysen

Angelini et al. (2015)

(33)

8.2 Netzwerkanalysen

Angelini et al. (2015)

Edge colors:

 red: attack sequence,

 shaded red: most probable precomputed attack path

 orange: any other

precomputed attack paths, black: do not belong to any attack path

(34)

8.3 Port Aktivitäten Port Aktivitäten

 Spezielle Ansätze zur Analyse von Portzugriffen und Verbindungen

 Eingehende und ausgehende Verbindungen

(35)

8.3 Port Aktivitäten Janies (2008)

Falsche Konfiguration.

Ein host kontaktiert 75 Email-Server innerhalb kurzer Zeit.

(36)

8.3 Port Aktivitäten Janies (2008)

SMTP Relay

Korrektes Verhalten

(37)

8.3 Port Aktivitäten Janies (2008)

Scan reservierter Ports Zyklen in der

Portverwendung sind erkennbar

(38)

8.4 IDS Alarm Analyse IDS Alarm Analyse

 IDS: Intrusion Detection System (Einbruchs-Erkennungs-System)

 Meist basierend auf Verhaltensanalysen

 Netzwerk-Verkehr

 Port-Benutzung

 Ressourcen-Verwendung auf einzelnen Rechner

 Arbeitsspeicher

 CPU-Auslastung

 Automatische Erkennung

 Viele sogenannte „false-positives“ (Falsche Alarmmeldungen)

 Analyse der gemeldeten Auffälligkeiten notwendig

(39)

8.4 IDS Alarm Analyse Abdullah et al. (2005)

Unterteilung des Platzes:

Scatterplot mit wieder- holter y-Achse

Beispiel mit 8 Achsen

 2.5 Class B IP Adressbereich

 Purpur-Linie: Start Class B

 Violette Linie: Start Abteilung

 24 Stunden mit gemeldeten Alarmen

(40)

8.4 IDS Alarm Analyse

Abdullah et al. (2005)

(41)

8.4 IDS Alarm Analyse

Abdullah et al. (2005)

(42)

8.4 IDS Alarm Analyse

Abdullah et al. (2005)

(43)

8.4 IDS Alarm Analyse

Oline and Reiners (2005)

Untere Zeile:

 Links: Woche

 Mitte: Tag

 Rechts: Stunde

Jedes Quadrat entspricht einem Alarm.

Wörterbuchattacke

(44)

8.4 IDS Alarm Analyse

Oline and Reiners (2005)

Visualisierung von Trends

 Zeit

 Bytes

 Port

(45)

8.4 IDS Alarm Analyse

Oline and Reiners (2005)

Visualisierung von Trends

 Zeit

 Bytes

 Port

udpstorm Attacke

(46)

Alsaleh et al. (2013)

Scatterplot:

 Datum (x-Achse)

 Zeit (y-Achse)

 Typ (Glyph, Farbe) des Angriffs

8.4 IDS Alarm Analyse

(47)

8.4 IDS Alarm Analyse Alsaleh et al. (2013)

Baum-Ansicht:

 Ort

 Subnetz

 IP

des Angriffs

(48)

8.4 IDS Alarm Analyse Alsaleh et al. (2013)

Häufigkeit des Angriffs

(49)

8.4 IDS Alarm Analyse Alsaleh et al. (2013)

Detailansicht IP, 29 Angriffe

(50)

8.4 IDS Alarm Analyse Alsaleh et al. (2013)

Treemap

Hervorgehoben sind

 Angriffsarten

 IP-Adressen

(51)

8.4 IDS Alarm Analyse Alsaleh et al. (2013)

Cluster der Angriffe Maß: Anzahl der

verdächtigen Anfragen

(52)

8.4 IDS Alarm Analyse Alsaleh et al. (2013)

Ringansicht

 IP: Achse

 Ring: Tag der

Entdeckung eines Bots

Darstellung: 17 Tage

(53)

8.4 IDS Alarm Analyse Alsaleh et al. (2013)

Häufigkeit von Angriffen

 IP:

y-Achse

 Tag des Monats:

x-Achse

 Häufigkeit:

Farbe einer Spalte

 Angriff:

einzelner Punkt

(54)

8.4 IDS Alarm Analyse Alsaleh et al. (2013)

Parallel Koordinaten

 IP

 Verschiedene Attribute

(55)

8.5 Malware-Erkennung

Xia (2008): System Call Traces

(56)

8.5 Malware-Erkennung

Wüchner (2014): Dateizugriffe

(57)

8.5 Malware-Erkennung

Quist (2009): Programmanalyse

 Viren- und Schädlingserkennung

 Grundlage: IDA Pro (disassembly tool)

 3D-Graph zum finden von Anomalien

(58)

8.5 Malware-Erkennung

Quist (2009): Programmanalyse

mit Malware-Code

(59)

8.5 Malware-Erkennung

Nataraj (2011)

(60)

8.5 Malware-Erkennung Gove (2014)

Malware-Klassifikation:

1) Predicted capabilities.

2) Printable strings.

3) DLL imports.

4) External function calls.

5) Image resources.

6) Tags applied to samples by system users.

7) IP addresses.

8) Hostnames.

9) Registry keys

(61)

8.5 Malware-Erkennung

Long (2014)

(62)

8.6 Sonstige Fink (2005):

Kombination Host- und Netzwerk-Analyse

(63)

8.6 Sonstige

Conti et al. (2005): Email-Analyse

(64)

8.6 Sonstige

Conti et al. (2005): Email-Analyse

(65)

8.6 Sonstige

Leschke (2012)

 Windows shadow Data (Vista & Windows 7)

 Dateisystem Informationen Kodierung

 Weiß: mehr existierend

 noch existierend

 Blau: existierend

 Rot: nicht

(66)

8.6 Sonstige

Leschke (2012): Benutzer-Tracking

(67)

8.6 Sonstige

Leschke (2012): Benutzer-Tracking

(68)

8.6 Sonstige

 Network Einbruchserkennung mittels 3D audio-visueller Immersion

 Logfile Analyse

 Bayes-Klassifikation von Logfiles

 Kodierung der Klassifikation mittels Hintergrundfarbe

 Zeige das Logfile mit entsprechend eingefärbtem Hintergrund an

(69)

8.6 Sonstige

 Malware-Analyse

 Source Code Analyse

 Compiled Code Analyse

 Execution trace Analyse

 PDF-file Analyse

 Virenerkennung unter Verwendung von SOMs

(70)

8.6 Sonstige

 Analyse von IP flows

 Analyse von Firewall-Konfigurationen

 Email-Analyse unter der Verwendung von Graphen

(71)

8.6 Sonstige

 Forensische Analyse

 Visuelles Filtern und Annotieren für forensische Netzwerk-Einbruchs- Analyse

 Analyse von textuellen Inhalten