ACCEPT

Erforschung eines neuen Ansatzes zur Erkennung, Analyse und Behandlung von sicherheitsrelevanten Anomalien in virtualisierten Rechner­umgebungen

ACCEPT Lebenszyklus © Universität Marburg

In virtualisierten Rechnersystemen verwaltet ein Hypervisor die Hardware-Ressourcen der physikalischen Rechner und ermöglicht die Ausführung mehrerer virtueller Maschinen, in denen jeweils eigene Gast-Betriebssysteme laufen, die Ausführungsumgebungen für Anwendungen zur Verfügung stellen. Die steigende Verbreitung dieser Technologie vor allem im Server-Bereich erklärt sich mit einer verbesserten Trennung einzelner Nutzer, besserer Auslastung der Systeme, gesteigerter Energieeffizienz und höherer Fehlertoleranz.

Allerdings sind virtualisierte Rechnerplattformen nicht nur den gleichen Angriffen ausgesetzt wie nicht-virtualisierte Rechnersysteme, sondern bieten darüber hinaus das Potential für spezifische Angriffe, die ihre strukturellen Eigenschaften ausnutzen. Das Ziel des Vorhabens ACCEPT ist die Erforschung eines neuen Ansatzes zur Erkennung, Analyse und Behandlung von sicherheitsrelevanten Anomalien in virtualisierten Rechner­umgebungen. Dabei sollen sowohl bekannte, als auch unbekannte Sicherheitsprobleme einbezogen werden, wobei besonders auf die speziellen Gefährdungsarten bei virtualisierten Rechnersystemen eingegangen wird.

In herkömmlichen, nicht virtualisierten Rechnersystemen wird die Erkennung von Anomalien entweder mit klassischen „Intrusion Detection / Prevention Systemen“ oder in umfassenderer Weise mit Systemen zum „Security Information and Event Management“ (SIEM) durchgeführt. Die in der Praxis verwendeten SIEM-Systeme beschränken sich jedoch oft darauf, Angriffe gegen die Infrastruktur zu erkennen, erfordern die Einbeziehung menschlicher Entscheider und leiden unter einer hohen Fehlalarmrate. In dem Vorhaben soll daher ein neuartiges SIEM-System für virtualisierte Rechnersysteme erforscht werden, welches die Nachteile aktueller Systeme vermeidet.