Refine
Year of publication
- 2023 (2) (remove)
Document Type
- Master's Thesis (2) (remove)
Language
- German (2) (remove)
Has Fulltext
- yes (2)
Is part of the Bibliography
- no (2)
Keywords
- APT (1)
- Advanced Persistent Thread (1)
- Angriffserkennung (1)
- Besucherstromanalyse (1)
- Bluetooth Exposure Logging (1)
- Bluetooth-Standard (1)
- Cyberattacke (1)
- ESP32 (1)
- Edge computing (1)
- Eindringerkennung (1)
Institute
- Fakultät IV - Wirtschaft und Informatik (2) (remove)
Die Angriffserkennung ist ein wesentlicher Bestandteil, Cyberangriffe zu verhindern und abzumildern. Dazu werden Daten aus verschiedenen Quellen gesammelt und auf Einbruchsspuren durchsucht. Die heutzutage produzierten Datenmengen sind ein wesentliches Problem für die Angriffserkennung. Besonders bei komplexen Cyberangriffen, die über einen längeren Zeitraum stattfinden, wächst die zu durchsuchende Datenmenge stark an und erschwert das Finden und Kombinieren der einzelnen Angriffsschritte.
Eine mögliche Lösung, um dem Problem entgegenzuwirken, ist die Reduktion der Datenmenge. Die Datenreduktion versucht, Daten herauszufiltern, die aus Sicht der Angriffserkennung irrelevant sind. Diese Ansätze werden unter dem Begriff Reduktionstechniken zusammengefasst. In dieser Arbeit werden Reduktionstechniken aus der Wissenschaft untersucht und auf Benchmark Datensätzen angewendet, um ihre Nutzbarkeit zu evaluieren. Dabei wird der Frage nachgegangen, ob die Reduktionstechniken in der Lage sind, irrelevante Daten ausfindig zu machen und zu reduzieren, ohne dass eine Beeinträchtigung der Angriffserkennung stattfindet. Die Evaluation der Angriffserkennung erfolgt durch ThreaTrace, welches eine Graph Neural Network basierte Methode ist.
Die Evaluierung zeigt, dass mehrere Reduktionstechniken die Datenmenge wesentlich reduzieren können, ohne die Angriffserkennung zu beeinträchtigen. Bei drei Techniken führt der Einsatz zu keinen nennenswerten Veränderungen der Erkennungsraten. Dabei wurden Reduktionsraten von bis zu 30 % erreicht. Bei der Anwendung einer Reduktionstechnik stieg die Erkennungsleistung sogar um 8 %. Lediglich bei zwei Techniken führt der Einsatz zum drastischen Absinken der Erkennungsrate.
Insgesamt zeigt die Arbeit, dass eine Datenreduktion angewandt werden kann, ohne die Angriffserkennung zu beeinträchtigen. In besonderen Fällen kann eine Datenreduktion, die Erkennungsleistung sogar verbessern. Allerdings ist der erfolgreiche Einsatz der Reduktionstechniken abhängig vom verwendeten Datensatz und der verwendeten Methode der Angriffserkennung.
Bluetooth ist ein weit verbreitetes drahtloses Übertragungsprotokoll, das in vielen mobilen Geräten wie bspw. Tablets, Kopfhörer oder Smartwatches verwendet wird. Bluetooth-fähige Geräte senden mehrmals pro Minute öffentliche Advertisements, die u.a. die einzigartige MAC-Adresse des Gerätes beinhalten. Das Mitschneiden dieser Advertisements mittels Bluetooth-Logger ermöglicht es, Bewegungen der Geräte zu analysieren und lassen somit Rückschlüsse auf die Bewegungen der Besitzenden zu.
Zum Schutz der Privatsphäre werden seit 2014 zufällig erzeugte MAC-Adressen in Advertisements verwendet. Eine sog. randomisierte MAC-Adresse bleibt durchschnittlich 15 Minuten lang gültig und wird dann durch eine neue zufällige Adresse ersetzt. Der Aufenthalt eines Geräts zu einem späteren Zeitpunkt kann nicht bestimmt werden. Dennoch kann der Wechsel eines Geräts von einem Bluetooth-Logger zu einem anderen innerhalb dieser 15 Minuten erkannt und somit eine Bewegung des Gerätes abgeleitet werden.
Durch Apps der Kontaktpersonennachverfolgung wie die Corona-Warn-App (CWA) senden auch vermeintlich inaktive Smartphones Bluetooth-Advertisements. Mit etwa einem Viertel der Aufzeichnungen unterstützt die CWA die Auswertungen dieser experimentellen Arbeit.
Um die praktische Anwendbarkeit zu demonstrieren, wurde der Erlebniszoo Hannover als Testgelände genutzt. Die Auswertung der über sieben Wochen gesammelten Daten ermöglichte die Analyse von Stoßzeiten, stark besuchten Orten und Besucherströmen.