Grammar Inference: Anomalieerkennung und Wissensgenerierung mittels Sequitur

Bachelor Studiengang IT Security

Gregor Schramm, BSc

Betreuer: Dipl.-Ing. Robert Luh, BSc

Ausgangslage

Privatpersonen wie Unternehmen leben heute ständig mit der Bedrohung von Advanced Persistent Threats (APTs). Ein APT ist ein Cyber-Angriff, der auf ein bestimmtes Ziel oder System zugeschnitten wurde. Eines der entscheidenden Merkmale von APTs ist deren Unauffälligkeit, was dazu führt, dass sie über einen sehr langen Zeitraum unbemerkt aktiv sein können. Es ist nicht ungewöhnlich, dass ein System für mehr als ein Jahr infiziert ist, bevor der Angriff entdeckt wird. Während dieser Zeit kann ein APT massiven Schaden verursachen, was üblicherweise in gezielter Spionage oder Sabotage gipfelt. Herkömmliche signaturbasierte Detektionstechnologie ist gegen diese maßgeschneiderten Angriffe nur eingeschränkt wirksam. Dies macht es notwendig, an neuen Methoden für die Erkennung von böswilliger Aktivität zu forschen. APTs sind zwar sehr unauffällig, können ihre Aktivität aber nicht vollständig verbergen. Die Ausführung von Schadcode verursacht Ereignisse, die auf dem System sichtbar sind. Die Erkennung von dediziert bösartigen Events ist jedoch schwierig.

Ziel

Ziel dieser Arbeit ist es, abnormales Systemverhalten durch die Verwendung eines Grammatik-Inferenz-Algorithmus namens Sequitur zu erkennen. Mit dieser Technik ist es möglich, eine Grammatik zu generieren, die auf beobachtetem Systemverhalten basiert. In diesem vollautomatischen Prozess wird eine Grammatik extrahiert, die Produktionsregeln und Terminale enthält, welche das Verhalten des Systems beschreiben. Zusätzlich wurde der Algorithmus erweitert, sodass die extrahierten Regeln Informationen enthalten, durch die Anomalien erkennbar werden. Um Wissen über das System des bösartigen Systems zu generieren, werden die extrahierten Regeln und Terminale in eine Datenbank geschrieben. Änderungen des Systemverhaltens werden nun durch den Vergleich verschiedener Systemereignis-Aufzeichnungen sichtbar.

Ergebnis

Mit dem modifizierten Sequitur-Algorithmus ist es möglich, schnell und präzise wiederkehrende Muster in sequentiellen Mengen von beliebigen Host- und Netzwerkaktivitäten zu entdecken und hervorzuheben. Dank der zusätzlichen Informationen der Produktionsregeln können auffällige Systemevents leicht extrahiert werden. Um festzustellen, ob die Systemaktivitäten von bereits vorhandenen Aufzeichnungen abweichen, können die gesammelten Daten anschließend mittels Datenbank verglichen werden.