Konzeptionierung eines Frameworks zur automatischen Analyse von Security-Nachrichten

Bachelor Studiengang IT Security

Alexander Kazuki Hofmann, BSc

Betreuer: Dipl.-Ing. Dr. Martin Pirker, Bakk.

Ausgangslage

Sicherheitsvorfälle gibt es jeden Tag. Egal ob man System-Administratorin oder System-Administrator, Leiterin oder Leiter der IT-Abteilung oder ein wesentlicher Teil der Geschäftsführung ist. Es ist wichtig, immer auf dem Laufenden bezüglich IT-Sicherheitsthemen zu bleiben.

Jedoch kann die individuelle Recherche wesentliche Ressourcen beanspruchen und das obwohl es unter Umständen gar keine relevanten Sicherheitsvorfälle gibt. Ein Grund könnte sein, weil keines der im Unternehmen verwendeten Software Systeme von aktuellen Vorfällen betroffen ist oder weil in der Berichterstattung momentan keine Meldungen vorliegen, die in den eigenen Zuständigkeitsbereich fallen.

Ziel

Aus den vorher genannten Gründen untersucht diese Arbeit, ob der Einsatz von Techniken aus dem Bereich des Text-Minings helfen kann, betroffene Personen zu entlasten.

Dazu wird ein Indexierungsdienst konzipiert, welcher zuerst News-Artikel von verschiedensten IT-Sicherheitsberichterstattern automatisch abruft, um einen Datenbestand zu generieren. Auf dieser Grundlage werden anschließend Text-Mining Methoden angewandt und deren Ergebnisse evaluiert. Ein großes Augenmerk wird dabei auf mögliche Merkmale gelegt, die für die Inhaltsanalyse und für IT-Sicherheitsbeauftragte relevant sein können.

Ergebnis

Neben einer ersten Abwägung von möglichen Merkmalen wurden auch zwei spezifische Text-Mining Methoden getestet und evaluiert, namentlich die sogenannte TF.IDF und „Named Entity Recognition“. Named Entity Recognition, die Erkennung von Eigennamen in Text (wie z.B. Produkte oder Hersteller), blieb in ihren Erwartungen zurück und hatte Schwierigkeiten solche, in einem Korpus von Sicherheitsnachrichten, zu erkennen.

Hingegen waren die Resultate mittels TF.IDF (einer Metrik zur Ermittlung wie signifikant ein Wort ist) vielversprechend um wichtige Schlagwörter automatisiert in News-Artikeln aus der Rubrik IT-Sicherheit zu identifizieren.

Ausblick

Diese Arbeit ist nur als Einstieg ins Text-Mining von Sicherheits-Nachrichten zu sehen. Aktuelle, fortgeschrittenere Verfahren im Text-Mining und Natural Language Processing verwenden zum Beispiel häufig neuronale Netzwerke. Hier könnte eine Weiterentwicklung ansetzen, ob und wie solche Techniken das Ergebnis weiter verbessern. Auch sind andere ergänzende Methoden wie eine automatische Zusammenfassung von Texten denkbar.