home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / auditool.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  12.4 KB  |  290 lines
  1.  
  2. Summary of the Trusted Information Systems (TIS) Report on Intrusion 
  3. Detection Systems - prepared by Victor H. Marshall
  4. ******************************************************************** 
  5.                 INTRUSION DETECTION IN COMPUTERS
  6.                         January 29, 1991
  7.  
  8.  
  9. 1.  EXECUTIVE SUMMARY.  Computer system security officials
  10. typically have very few, if any, good automated tools to gather
  11. and process auditing information on potential computer system
  12. intruders.  It is most challenging to determine just what actions
  13. constitute potential intrusion in a complex mainframe computer
  14. environment.  Trusted Information Systems (TIS), Inc. recently
  15. completed a survey to determine what auditing tools are available
  16. and what further research is needed to develop automated systems
  17. that will reliably detect intruders on mainframe computer
  18. systems.  Their report #348 was done for the Air Force and
  19. includes details on nine specific software tools for intrusion
  20. detection.
  21.  
  22.  
  23. 2.  BACKGROUND.  Computer security officials at the system level
  24. have always had a challenging task when it comes to day-to-day
  25. mainframe auditing.  Typically the auditing options/features are
  26. limited by the mainframe operating system and other system
  27. software provided by the hardware vendor.  Also, since security
  28. auditing is a logical subset of management auditing, some of the
  29. available auditing options/features may be of little value to
  30. computer security officials.  Finally, the relevant auditing
  31. information is probably far too voluminous to process manually
  32. and the availability of automated data reduction/analysis tools
  33. is very limited.  Typically, 95% of the audit data is of no
  34. security significance.  The trick is determining which 95% to
  35. ignore.
  36.  
  37.  
  38. 3.  SPECIAL TOOLS NEEDED.  A partial solution to this problem
  39. could be to procure or develop special automated tools for doing
  40. security auditing.  For example, in the IBM mainframe
  41. environment, programs such as RACF, CA-ACF2, and CA-TOP SECRET
  42. are commonly used to control data access and programs such as CA-
  43. EXAMINE are used to supplement standard systems auditing. 
  44. Nevertheless, most of these generally-available software systems
  45. do not comprehensively address the problem of intrusion
  46. detection.  In fact, intrusion detection is one of the most
  47. challenging (security) auditing functions.  There are, in fact,
  48. few existing systems designed to do this, and they must be
  49. tailored to specific operating systems.  Also, they do not
  50. generally gather auditing information on activities within
  51. database management systems or application software.  Much
  52. research and development needs to be done before intrusion
  53. detection will be generally available.
  54.  
  55.  
  56. 4.  REPORT AVAILABLE.  In the meantime, however, it would be wise
  57. to stay abreast of the state-of-the-art in automated auditing
  58. tools for helping security managers detect intruders.  TIS, Inc.
  59. recently completed a very comprehensive report on the tools
  60. currently available for intrusion detection and the recommended
  61. directions for future research.  TIS report #348 is entitled
  62. "Computer System Intrusion Detection, E002: Final Technical
  63. Report" and is dated September 11, 1990.  It was done under
  64. contract to the Rome Air Development Center at Griffiss Air Force
  65. Base in New York.  TIS report #348  comprehensively covers the
  66. known intrusion detection techniques.  It also reviews the nine
  67. comprehensive intrusion detection tools currently available or
  68. under development.
  69.  
  70.  
  71.      a.  Intrusion Detection Techniques.  Although intrusion
  72. detection is normally accomplished using software tools, hardware
  73. tools are potentially more secure because they cannot be easily
  74. altered.  In either case, intrusion detection requires that
  75. security-related auditing data be collected, stored, and
  76. analyzed.
  77.  
  78.           (1)  Data Collection.  Specific events or sequences of
  79. events must be defined as important enough to cause generation of
  80. an audit record.  Potentially every event has security
  81. significance, but logging the details of every event would
  82. probably eliminate any hope of processing efficiency (or even
  83. effectiveness).  Thus, someone must decide which events to log
  84. and when.  Also, as noted earlier, the events logged tend to be
  85. exclusively operating system events.  It would be useful to be
  86. able to log some events internal to database management systems
  87. and/or application systems.
  88.  
  89.           (2)  Data Storage.  Some auditing data can be processed
  90. in real-time, but most of it will go to an audit log for later
  91. review.  Security is concerned with the extent to which:
  92.  
  93.                -  The storage medium for the audit log is
  94.                   READ-only and non-volatile,
  95.  
  96.                -  The computer system used to store the audit
  97.                   log is connected/linked to the one from which
  98.                   the auditing data was gathered, and
  99.  
  100.                -  The electronic (or manual) data paths are
  101.                   protected.
  102.  
  103.           (3)  Data Analysis.  By far, the most difficult task is
  104. to analyze the auditing data.  A comprehensive audit log will
  105. certainly be too voluminous for reasonable human processing. 
  106. Thus, the following techniques (in addition to other techniques)
  107. must be used in some ethical/legal combination to reduce the
  108. security-relevant audit data to meaningful conclusions:
  109.  
  110.                -  User Profiles
  111.                -  Anomalies
  112.                -  Historical Norms
  113.                -  Trend Analyses
  114.                -  Probable Scenarios
  115.                -  Known System Flaws
  116.                -  Threat Probabilities
  117.                -  Simulated Intrusions
  118.                -  Statistical Sampling
  119.                -  Expert System Rules
  120.                -  ArtificIal Intelligence
  121.                -  Hierarchies of Concern (Levels of Security)
  122.                -  Heuristics
  123.                -  Neural Networking
  124.  
  125.           (4)  User Interface.  Finally, the data analysis
  126. process should have a "friendly" user (i.e., security manager)
  127. interface that supports rapid learning, minimal frustration, and
  128. effective results.
  129.  
  130.  
  131.      b.  Nine Tools Reviewed.  The nine automated tools reviewed
  132. in some depth in TIS report #348 are:
  133.  
  134.           (1)  ComputerWatch Audit Reduction Tool.  AT&T Bell
  135. Laboratories developed ComputerWatch in 1989 to summarize their
  136. internal audit files produced by System V/MLS, a version of UNIX. 
  137. ComputerWatch could be used on other systems if the appropriate
  138. changes were made to the format/filter module.
  139.  
  140.           (2)  Discovery.  TRW Information Systems Division
  141. developed Discovery in 1986 to analyze access data from their
  142. credit database housed in a dial-up network of IBM 3090s running
  143. under the MVS operating system.  Because it is application-
  144. specific, Discovery could not be easily implemented in other
  145. environments.  However, Discovery does process auditing data
  146. produced by IBM's standard System Management Facility (SMF).
  147.  
  148.           (3)  Haystack.  Haystack was developed by Haystack
  149. Laboratories, Inc. for the Air Force Cryptologic Support Center
  150. in 1988 to analyze data from Unisys 1100/2200 mainframes running
  151. under the OS/1100 operating system.  The actual analysis is done
  152. on a personal computer (such as the Zenith Z-248) running under
  153. MS-DOS.  Haystack could not be easily implemented in other
  154. environments.
  155.  
  156.           (4)  Intrusion-Detection Expert System (IDES).  The
  157. IDES model was developed by SRI International in 1985 and has
  158. been implemented on Sun workstations as a research prototype
  159. under a contract with the U.S. Navy (SPAWAR).  A version of IDES
  160. for IBM mainframes (using the MVS operating system) will soon be
  161. implemented under a contract with the Federal Bureau of
  162. Investigation (FBI).  IDES is designed to be easily implemented
  163. in many different environments.  The IDES model has been the
  164. basis for most intrusion detection research to date and it forms
  165. the conceptual basis for Haystack, MIDAS, and W&S.  (NOTE: 
  166. Haystack was covered above.  MIDAS and W&S are covered below.)
  167.  
  168.           (5)  Information Security Officer's Assistant (ISOA). 
  169. ISOA is an R&D prototype system developed by Planning Research
  170. Corporation (PRC) in 1989 to analyze data from two types of
  171. system - the UNIX SunOS and the IBM AT Xenix.  The actual
  172. analysis is done on a Sun 3/260 color workstation.  ISOA is table
  173. driven, so it can easily be used to monitor many different
  174. environments.
  175.  
  176.           (6)  Multics Intrusion Detection and Alerting System
  177. (MIDAS).  MIDAS was developed by the National Security Agency's
  178. (NSA's) National Computer Security Center (NCSC) in 1988 to
  179. analyze data from a Honeywell DPS-8/70 computer running the
  180. Multics operating system (in support of NSA's Dockmaster system). 
  181. NCSC intends to further develop MIDAS so it can process audit
  182. data from Sun and Apple systems.
  183.  
  184.           (7)  Network Anomaly Detection and Intrusion Reporter
  185. (NADIR).  NADIR was developed by the Department of Energy"s Los
  186. Alamos National Laboratory (LANL) in 1989 to analyze data from a
  187. unique LANL Network Security Controller (NSC).  There are no
  188. plans to modify NADIR for use in other systems.
  189.  
  190.           (8)  Network Security Monitor (NSM).  An NSM prototype
  191. was recently developed by the University of California Davis
  192. (UCD) and is currently running on a Sun 3/50.  NMS was designed
  193. to analyze data from an Ethernet local area network (LAN) and the
  194. hosts connected to it.  NSM is a research system, but UCD hopes
  195. to eventually expand it's scope to include real environments,
  196. real attacks, and perhaps wide area networks.
  197.  
  198.           (9)  W&S.  W&S is an anomaly detection system that has
  199. been under development at LANL for the NCSC and DOE since 1984. 
  200. W&S runs on a UNIX workstation and can analyze data from several
  201. different systems.
  202.  
  203.  
  204.      c.  More Research Needed.  The specific TIS recommendations
  205. for further research include the following near-term (1 to 5
  206. year) and long-term (over 5 year) recommendations.
  207.  
  208.           (1)  Near Term Recommendation.  The main near-term
  209. recommendation is to develop and commercially market an audit
  210. analysis "tool kit" flexible enough to meet the needs of a wide
  211. variety of security users and of a very dynamic environment. 
  212. This would require that, among other things, someone:
  213.  
  214.                -  Study the techniques for coordinating data from
  215.                   multiple levels of system abstraction.
  216.  
  217.                -  Explore methods for integrating components of
  218.                   existing intrusion detection systems into a
  219.                   single prototype system.
  220.  
  221.                -  Study the uses of neural networks and how they
  222.                   might be employed in audit analysis tools.
  223.  
  224.                -  Develop the initial design for a proof-of-
  225.                   concept prototype to include a statistical tool
  226.                   (to develop user profiles), an expert system
  227.                   tool (to analyze the data based on predefined
  228.                   and consistent rules), and a neural network
  229.                   tool.
  230.  
  231.                -  Determine the typical level of security
  232.                   expertise and perceived needs of a security
  233.                   manager who will use these auditing tools.
  234.  
  235.                -  Test the prototype tool kit using real/live
  236.                   penetration techniques and data.
  237.  
  238.           (2)  Long Term Recommendation.  The main long term
  239. recommendation of TIS report #348 is that studies of the issues
  240. surrounding intrusion detection technology be conducted.  These
  241. issues include:
  242.  
  243.                -  Risk Management
  244.  
  245.                -  Advanced Tools
  246.  
  247.                -  Network Monitoring
  248.  
  249.                -  Distributed Processing (of Audit Data)
  250.  
  251.                -  Statistical Analysis
  252.  
  253.                -  Detection Sensitivity Analysis
  254.  
  255.                -  Collusion Among Computer Users
  256.  
  257.                -  Distributed Network Attacks
  258.  
  259.                -  Intrusion Response (Counterattack)
  260.  
  261.                -  Computer User Responses to Intrusion Detection
  262.  
  263.                -  Recognition (to Reduce False Positive
  264.                     Identifications)
  265.  
  266.  
  267. 5.  TIS REPORT CONCLUSION.  TIS report #348 concludes that there
  268. has been much good scientific study done on intrusion detection
  269. technologies, but insufficient time has been spent:
  270.  
  271.      -  Analyzing precise user needs,
  272.  
  273.      -  Determining the most appropriate technologies to use in
  274.         specific situations, and
  275.  
  276.      -  Cooperatively sharing the lessons learned from actual
  277.         intrusions.
  278.  
  279.  
  280.  
  281.  
  282.                                    VICTOR H. MARSHALL
  283.                                    Systems Assurance Team Leader
  284.                                    Booz, Allen & Hamilton Inc.
  285.  
  286.  
  287.  
  288.  
  289.  
  290.