Refine
Document Type
- Master's Thesis (2)
- Article (1)
- Conference Proceeding (1)
Has Fulltext
- yes (4)
Is part of the Bibliography
- no (4)
Keywords
- Eindringerkennung (4) (remove)
Institute
Dramatic increases in the number of cyber security attacks and breaches toward businesses and organizations have been experienced in recent years. The negative impacts of these breaches not only cause the stealing and compromising of sensitive information, malfunctioning of network devices, disruption of everyday operations, financial damage to the attacked business or organization itself, but also may navigate to peer businesses/organizations in the same industry. Therefore, prevention and early detection of these attacks play a significant role in the continuity of operations in IT-dependent organizations. At the same time detection of various types of attacks has become extremely difficult as attacks get more sophisticated, distributed and enabled by Artificial Intelligence (AI). Detection and handling of these attacks require sophisticated intrusion detection systems which run on powerful hardware and are administered by highly experienced security staff. Yet, these resources are costly to employ, especially for small and medium-sized enterprises (SMEs). To address these issues, we developed an architecture -within the GLACIER project- that can be realized as an in-house operated Security Information Event Management (SIEM) system for SMEs. It is affordable for SMEs as it is solely based on free and open-source components and thus does not require any licensing fees. Moreover, it is a Self-Contained System (SCS) and does not require too much management effort. It requires short configuration and learning phases after which it can be self-contained as long as the monitored infrastructure is stable (apart from a reaction to the generated alerts which may be outsourced to a service provider in SMEs, if necessary). Another main benefit of this system is to supply data to advanced detection algorithms, such as multidimensional analysis algorithms, in addition to traditional SIEMspecific tasks like data collection, normalization, enrichment, and storage. It supports the application of novel methods to detect security-related anomalies. The most distinct feature of this system that differentiates it from similar solutions in the market is its user feedback capability. Detected anomalies are displayed in a Graphical User Interface (GUI) to the security staff who are allowed to give feedback for anomalies. Subsequently, this feedback is utilized to fine-tune the anomaly detection algorithm. In addition, this GUI also provides access to network actors for quick incident responses. The system in general is suitable for both Information Technology (IT) and Operational Technology (OT) environments, while the detection algorithm must be specifically trained for each of these environments individually.
Die Prävention und Erkennung von Cyber-Angriffen ist eine Herausforderung von hoher Bedeutung, da die Digitalisierung nahezu aller Lebensbereiche immer weiter voranschreitet. Im Forschungssektor der sogenannten Intrusion Detection wird fortlaufend untersucht, inwiefern sich Machine Learning (ML) zur Erkennung von Angriffen eignet. Während ML-Algorithmen bei Anwendungsfällen wie Produktempfehlungen oder Spam-Filtern erfolgreich in Produktion eingesetzt werden können, gestaltet sich die Anwendung in der Intrusion Detection schwieriger.
In sogenannten signatur-basierten IDS-Systemen werden Regelwerke eingesetzt, um Angriffe im Netzwerkverkehr zur Laufzeit zu erkennen. Die Erstellung und Verwaltung dieser IDS-Regeln erfolgt normalerweise manuell und erfordert eine hohe Domänenexpertise. Diese Masterthesis liefert einen Forschungsbeitrag, da diese IDS-Regeln erstmals automatisiert unter der Verwendung von Machine Learning erzeugt werden. Die für diesen Zweck entwickelte Toolchain verwendet Entscheidungsbaum-Algorithmen zur Regelerzeugung aus Trainingsdaten. Des Weiteren werden die Regeln für den Einsatz in einem signatur-basierten IDS-System in das Format von Suricata konvertiert.
Die Evaluierung der erzeugten Regeln hat gezeigt, dass in einer Vielzahl von Experimenten hohe Erkennungsraten und wenige Fehlalarme möglich sind. Allerdings basieren die betroffenen Regelwerke zum Teil auf unterkomplexen Zusammenhängen in den zugrundeliegenden Trainingsdaten. Darüber hinaus verfügen die Regelwerke über eine eingeschränkte Generalisierungsfähigkeit. Für ein finales Urteil wäre es notwendig und empfehlenswert, zusätzliche Forschungskapazitäten für die Erstellung repräsentativer IDS-Datensätze aufzuwenden.
Renewable energy production is one of the strongest rising markets and further extreme growth can be anticipated due to desire of increased sustainability in many parts of the world. With the rising adoption of renewable power production, such facilities are increasingly attractive targets for cyber attacks. At the same time higher requirements on a reliable production are raised. In this paper we propose a concept that improves monitoring of renewable power plants by detecting anomalous behavior. The system does not only detect an anomaly, it also provides reasoning for the anomaly based on a specific mathematical model of the expected behavior by giving detailed information about various influential factors causing the alert. The set of influential factors can be configured into the system before learning normal behaviour. The concept is based on multidimensional analysis and has been implemented and successfully evaluated on actual data from different providers of wind power plants.
Die Angriffserkennung ist ein wesentlicher Bestandteil, Cyberangriffe zu verhindern und abzumildern. Dazu werden Daten aus verschiedenen Quellen gesammelt und auf Einbruchsspuren durchsucht. Die heutzutage produzierten Datenmengen sind ein wesentliches Problem für die Angriffserkennung. Besonders bei komplexen Cyberangriffen, die über einen längeren Zeitraum stattfinden, wächst die zu durchsuchende Datenmenge stark an und erschwert das Finden und Kombinieren der einzelnen Angriffsschritte.
Eine mögliche Lösung, um dem Problem entgegenzuwirken, ist die Reduktion der Datenmenge. Die Datenreduktion versucht, Daten herauszufiltern, die aus Sicht der Angriffserkennung irrelevant sind. Diese Ansätze werden unter dem Begriff Reduktionstechniken zusammengefasst. In dieser Arbeit werden Reduktionstechniken aus der Wissenschaft untersucht und auf Benchmark Datensätzen angewendet, um ihre Nutzbarkeit zu evaluieren. Dabei wird der Frage nachgegangen, ob die Reduktionstechniken in der Lage sind, irrelevante Daten ausfindig zu machen und zu reduzieren, ohne dass eine Beeinträchtigung der Angriffserkennung stattfindet. Die Evaluation der Angriffserkennung erfolgt durch ThreaTrace, welches eine Graph Neural Network basierte Methode ist.
Die Evaluierung zeigt, dass mehrere Reduktionstechniken die Datenmenge wesentlich reduzieren können, ohne die Angriffserkennung zu beeinträchtigen. Bei drei Techniken führt der Einsatz zu keinen nennenswerten Veränderungen der Erkennungsraten. Dabei wurden Reduktionsraten von bis zu 30 % erreicht. Bei der Anwendung einer Reduktionstechnik stieg die Erkennungsleistung sogar um 8 %. Lediglich bei zwei Techniken führt der Einsatz zum drastischen Absinken der Erkennungsrate.
Insgesamt zeigt die Arbeit, dass eine Datenreduktion angewandt werden kann, ohne die Angriffserkennung zu beeinträchtigen. In besonderen Fällen kann eine Datenreduktion, die Erkennungsleistung sogar verbessern. Allerdings ist der erfolgreiche Einsatz der Reduktionstechniken abhängig vom verwendeten Datensatz und der verwendeten Methode der Angriffserkennung.