@mastersthesis{Gesell2023, type = {Master Thesis}, author = {Gesell, Jan Eske}, title = {Untersuchung der Nutzbarkeit von Graphreduktionstechniken auf Provenance Graphen im Bereich der IT-Sicherheit}, doi = {10.25968/opus-2758}, institution = {Fakult{\"a}t IV - Wirtschaft und Informatik}, school = {Hochschule Hannover}, year = {2023}, abstract = {Die Angriffserkennung ist ein wesentlicher Bestandteil, Cyberangriffe zu verhindern und abzumildern. Dazu werden Daten aus verschiedenen Quellen gesammelt und auf Einbruchsspuren durchsucht. Die heutzutage produzierten Datenmengen sind ein wesentliches Problem f{\"u}r die Angriffserkennung. Besonders bei komplexen Cyberangriffen, die {\"u}ber einen l{\"a}ngeren Zeitraum stattfinden, w{\"a}chst die zu durchsuchende Datenmenge stark an und erschwert das Finden und Kombinieren der einzelnen Angriffsschritte. Eine m{\"o}gliche L{\"o}sung, um dem Problem entgegenzuwirken, ist die Reduktion der Datenmenge. Die Datenreduktion versucht, Daten herauszufiltern, die aus Sicht der Angriffserkennung irrelevant sind. Diese Ans{\"a}tze werden unter dem Begriff Reduktionstechniken zusammengefasst. In dieser Arbeit werden Reduktionstechniken aus der Wissenschaft untersucht und auf Benchmark Datens{\"a}tzen angewendet, um ihre Nutzbarkeit zu evaluieren. Dabei wird der Frage nachgegangen, ob die Reduktionstechniken in der Lage sind, irrelevante Daten ausfindig zu machen und zu reduzieren, ohne dass eine Beeintr{\"a}chtigung der Angriffserkennung stattfindet. Die Evaluation der Angriffserkennung erfolgt durch ThreaTrace, welches eine Graph Neural Network basierte Methode ist. Die Evaluierung zeigt, dass mehrere Reduktionstechniken die Datenmenge wesentlich reduzieren k{\"o}nnen, ohne die Angriffserkennung zu beeintr{\"a}chtigen. Bei drei Techniken f{\"u}hrt der Einsatz zu keinen nennenswerten Ver{\"a}nderungen der Erkennungsraten. Dabei wurden Reduktionsraten von bis zu 30 \% erreicht. Bei der Anwendung einer Reduktionstechnik stieg die Erkennungsleistung sogar um 8 \%. Lediglich bei zwei Techniken f{\"u}hrt der Einsatz zum drastischen Absinken der Erkennungsrate. Insgesamt zeigt die Arbeit, dass eine Datenreduktion angewandt werden kann, ohne die Angriffserkennung zu beeintr{\"a}chtigen. In besonderen F{\"a}llen kann eine Datenreduktion, die Erkennungsleistung sogar verbessern. Allerdings ist der erfolgreiche Einsatz der Reduktionstechniken abh{\"a}ngig vom verwendeten Datensatz und der verwendeten Methode der Angriffserkennung.}, subject = {Cyberattacke}, language = {de} }