Process mining and network protocols – Probing the application of Process Mining techniques and algorithms to network protocols

Master Studiengang Information Security

Dipl.-Ing. Matthias Leeb, BSc
18.09.2015

Ausgangslage

Die Anwendbarkeit von Process Mining-Konzepten auf Netzwerkprotokolle steht im Fokus dieser Diplomarbeit. Bisher wurden derartige Konzepte primär auf (Business-)Prozesse angewendet um diese zu verbessern, auf Konformität zu prüfen oder überhaupt erst zu visualisieren. Aus Sicht der Informationssicherheit sind diese Ziele ebenfalls erstrebenswert. Die grundlegende Idee hinter der vorgestellten Forschung ist das Hervorheben von Gemeinsamkeiten von Prozessen und Protokollen. Zusätzliche Hilfe, etwa das Reverse Engineering oder Re-Engineering von Netzwerkprotokollen, deren Prüfung auf Konformität oder die Untersuchung hinsichtlich möglicher Verbesserungen, stellen eine Verbesserung oder gar einen Ersatz für die derzeitigen, meist komplexen manuellen und fehleranfälligen Methoden dar.

Ziele

Aus dieser Ausgangslage ergeben sich folgende Forschungsfragen:

  • Welche Perspektiven und Typen von Process Mining sind für Netzwerkprotokolle sinnvoll?
  • Welche Notationssysteme und Algorithmen sind in diesem Zusammenhang passend?
  • Was sind die Voraussetzungen und Anforderungen, um aufgezeichneten Netzwerkverkehr mit den Process Mining-Tools untersuchen zu können?
  • Was sind brauchbare Anwendungen für Process Mining im Bereich der Netzwerkprotokolle?

Ergebnis

Process Mining kann auf Netzwerkprotokolle angewandt werden und liefert brauchbare Resultate. Der eingeschlagene Weg, vom Herausfinden des bestmöglichen Algorithmus und Notationssystem, der Entwicklung einer ETL-Prozedur (extract, transform, load) für den Netzwerkmitschnitt, bis hin zum Ableiten eines Prozessmodells für das TCP Protokoll, kann als vielversprechend und zielführend angesehen werden. Des Weiteren wurde durch Anpassungen an der ETL-Prozedur das Mining des HTTP-Protokolls verbessert und eine Steigerung der Performance bei sehr großen Netzwerkmitschnitten erzielt. Für eine Schätzung, ab wann durch weiteres Beobachten des Prozesses kein nennenswerter Informationsgewinn mehr entsteht, wurde eine Metrik erstellt und die Berechnung der Trendlinie analysiert.

Ausblick

Um ein Netzwerkprotokoll vollständig zu analysieren, ist die Einnahme von weiteren Perspektiven, abseits des Kontrollflusses, notwendig. Um die Leistungsfähigkeit von Process Mining zu zeigen, könnte ein nicht dokumentiertes oder selten verwendetes Protokoll untersucht werden. Eine umfangreichere Validierung der erstellten Metrik kann bei der Schätzung des Informationsgehalts von Prozessinstanzen helfen.

FH-Betreuer: FH-Prof. Mag. Dr. Simon Tjoa