Hostübergreifende Korrelation von Systemereignissen mittels Netzwerk-Flow Daten

Master-Studiengang Information Security

Dipl.-Ing. Matthias Sterle, BSc (Jg. 2014/2016)

Betreuer: Dipl.-Ing. Robert Luh, BSc

Ausgangslage

Die Erkennung und Analyse von Malware ist ein sehr präsentes Thema in der IT Security, denn die steigende Zahl an Schadsoftware und die damit einhergehenden Infektionen stellen eine große Herausforderung dar. Ein weiterer Punkt ist die immer durchdringendere Vernetzung von Geräten und damit auch eine steigende Anzahl an potenziellen Zielen. Die entstehenden Schäden für Firmen und Privatpersonen beschränken sich dabei nicht nur auf den Zeitaufwand für die Desinfizierung, sondern gehen oft mit finanziellen Schäden einher. Aus diesem Grund ist die Forschung in diesem Bereich ein sehr wichtiges Thema. Eine noch nicht erkundete Möglichkeit für die Analyse von Malware ist die Verknüpfung von Prozess- und Netzwerkdaten.

Ziel

Diese Arbeit beschäftigt sich mit der Frage, wie ein solches System aussehen kann. Dabei muss zuerst geklärt werden, welche Technologien sowohl auf Seiten der Hosts als auch auf Seiten des Netzwerks verwendet werden können, um verwertbare Daten zu erhalten und verknüpfen zu können. Im Laufe dieser Arbeit kristallisiert sich heraus, dass im Netzwerk Flow-Systeme zum Einsatz kommen sollen. Sie ermöglichen die Erfassung von Daten, die eindeutig einem Prozess auf einem Host-System zugeordnet werden können. Auf den einzelnen Hosts wird „procmon“ aus der Sysinternals Suite verwendet, um die Daten aufzuzeichnen. Die gesammelten Informationen werden an einer zentralen Stelle gespeichert. Ein eigens entwickeltes Tool dient der Korrelation der gesammelten Daten und bereitet diese textuell und grafisch auf.

Ergebnis

Im Zuge dieser Arbeit wurde festgestellt, dass es möglich ist, Daten über Prozesse im Netzwerk und auf Hosts zu sammeln und miteinander zu verknüpfen. Dabei ist anzumerken, dass dies nicht nur auf einen Host beschränkt ist, sondern auch hostübergreifend funktioniert. Durch die Aufbereitung der Datensätze ist eine Analyse des Malwareverhaltens möglich. Zum Abschluss wurden verschiedene Szenarien vorgestellt, in denen das Verfahren der hostübergreifenden Korrelation mittels Flow-Systemen eine nützliche Ergänzung zu vorhandenen Verfahren sein kann.