Hasso-Plattner-Institut
Hasso-Plattner-Institut
  
Login
 

Dissertation Sebastian Roschke

Weite Teile des heutigen gesellschaftlichen Zusammenlebens hängen von sicheren und widerstandsfähigen IT-Systemen ab. Obwohl eine Vielzahl an Sicherheitsmechanismen entwickelt wurden, ist die Absicherung von Netzwerken immer noch eine Herausforderung. Die Überwachung von Systemen, etwa durch Einbruchserkennungssysteme oder Logsammler, ist ein hilfreicher Ansatz um Angreifer in einem Netzwerk zu entdecken sowie um erfolgreiche Angriffe durch forensische Analyse zu rekonstruieren.

Stetig wachsende Netzwerke und eine immer größer werdende Anzahl von Angriffen erfordern Methoden zur Weiterverarbeitung und Filterung anfallender Ereignismeldungen, die sogenannte Korrelation von Angriffsdaten. Komplexe Korrelationsalgorithmen führen aufwändige Berechnungen auf großen Datensätzen durch. Neue Berechnungsparadigmen wie massive Hauptspeichermaschinen und Vielkern-Systeme können gewinnbringend für die Korrelation von Angriffsdaten eingesetzt werden.

Im Rahmen dieser Arbeit wird gezeigt, dass der Einsatz dieser beiden Paradigmen die Qualität der Korrelation von Angriffsdaten verbessern kann. Dazu wird das Security Analytics Lab(SAL) entworfen und implementiert, ein so genanntes Sicherheits-Informations und Ereignis-Management (SIEM) System, welches Nutzen aus beiden Paradigmen zieht. Die Erschließung von zusätzlichen Datenquellen für die Korrelation von Angriffsdaten kann die Genauigkeit von Korrelationsalgorithmen verbessern.

Ein Korrelationalgorithmus mit hoher Genauigkeit wird vorgeschlagen, welcher Schwachstellen-, Netzwerk- und Systeminformationen sowie Angriffsgraphen(AG) verwendet und mittels des SAL implementiert. Zusätzlich bietet das SAL eine Hauptspeicherdatenhaltung, den Zugriff auf Vielkern-System-Schnittstellen, eine Integration von sicherheitsrelevanten Systemmeldungen mittels der Common Event Expression (CEE), sowie verschiedene Visualisierungsmethoden an.

Darüber hinaus werden verschiedene Korrelationsalgorithmen mittels des SAL implementiert. Praktische Experimente mit realen und simulierten Daten wurden auf verschiedenen Hardwareplattformen durchgeführt um die aufgestellten Behauptungen zu belegen, beispielsweise die Leistungsfähigkeit des SAL und die Genauigkeit und Geschwindigkeit verschiedener Algorithmen.