Towards Dynamic Attack Recognition for SIEM

Master Studiengang Information Security

Dipl.-Ing. Stefan Langeder, BSc
19.09.2014

Ausgangslage

Die ausgedehnte Nutzung von Informationstechnologien im wirtschaftlichen und privaten Bereich bildet ein umfassendes Ziel für kriminelle Aktivitäten. Es existiert eine Vielzahl an Tricks und Methoden, um sich unberechtigt Zugang zu Netzwerken und Daten zu verschaffen. Um Angriffe auf ein Netzwerk zu erkennen und gegebenenfalls zu verhindern, gibt es unterschiedliche technische Lösungen. Beispiele hierfür sind Firewalls, Intrusion-Detection Systeme (IDS) und Anti-Malware Programme.
Jede der genannten Lösungen dient einem bestimmten Zweck. Daraus ergibt sich der Umstand, dass umfangreiche Schutzmaßnahmen eine Kombination dieser unterschiedlichen Systeme erfordern. Um einen Gesamtüberblick über verdächtige Aktivitäten in einem Netzwerk zu erhalten, müssen demzufolge die Alarme der einzelnen Systeme kombiniert werden.

Eine Möglichkeit, um Alarmierungen und Meldungen sowohl von sicherheitsrelevanten als auch produktiven Systemen, wie Servern und Switches, zentral zu verwalten, sind Security Information and Event Management (SIEM) Systeme. Mit SIEM Systemen ist es möglich, Event-Logs von unterschiedlichsten Quellen zu sammeln, auszuwerten und zu speichern. Dadurch kann ein einheitliches Bild über die Vorgänge in einem Netzwerk gezeichnet werden. Des Weiteren können auf Basis der Auswertung der Daten Alarme generiert werden.

Ziel

Die Generierung von Alarmen in SIEM Systemen erfolgt grundsätzlich aufgrund vordefinierter Regeln. Der Nachteil von regelbasierten Systemen ist, dass Regelwerke wartungsintensiv und fehleranfällig sind. Zudem ist es schwierig, umfangreiche Angriffs-Szenarien mit Regeln zu beschreiben. Das Ziel dieser Arbeit ist es daher, Ansätze zu ermitteln, die eine dynamische Erkennung von Angriffsmustern in Log-Daten ermöglichen.

Ergebnis

Für die Erkennung von Angriffsmustern in zeitkontinuierlichen Daten gibt es eine Vielzahl von Lösungsansätzen. Im Rahmen dieser Arbeit wurde auf Basis dieser Ansätze ein theoretisches Framework entwickelt, welches in der Lage ist, fortgeschrittene Angriffsmuster selbstständig zu lernen. Hierfür kommen Methoden aus dem Bereich Machine Learning zum Einsatz. Des Weiteren konnte praktisch nachgewiesen werden, dass eine Klassifizierung von Log-Meldungen auf Basis von Machine Learning-Algorithmen zu guten Ergebnissen führt.

FH-Betreuer: FH-Prof. Dipl.-Ing. Dr. Paul Tavolato