Master's Thesis
Refine
Document Type
- Master's Thesis (2) (remove)
Language
- German (2)
Has Fulltext
- yes (2)
Is part of the Bibliography
- no (2)
Keywords
- Eindringerkennung (2) (remove)
Institute
Die Angriffserkennung ist ein wesentlicher Bestandteil, Cyberangriffe zu verhindern und abzumildern. Dazu werden Daten aus verschiedenen Quellen gesammelt und auf Einbruchsspuren durchsucht. Die heutzutage produzierten Datenmengen sind ein wesentliches Problem für die Angriffserkennung. Besonders bei komplexen Cyberangriffen, die über einen längeren Zeitraum stattfinden, wächst die zu durchsuchende Datenmenge stark an und erschwert das Finden und Kombinieren der einzelnen Angriffsschritte.
Eine mögliche Lösung, um dem Problem entgegenzuwirken, ist die Reduktion der Datenmenge. Die Datenreduktion versucht, Daten herauszufiltern, die aus Sicht der Angriffserkennung irrelevant sind. Diese Ansätze werden unter dem Begriff Reduktionstechniken zusammengefasst. In dieser Arbeit werden Reduktionstechniken aus der Wissenschaft untersucht und auf Benchmark Datensätzen angewendet, um ihre Nutzbarkeit zu evaluieren. Dabei wird der Frage nachgegangen, ob die Reduktionstechniken in der Lage sind, irrelevante Daten ausfindig zu machen und zu reduzieren, ohne dass eine Beeinträchtigung der Angriffserkennung stattfindet. Die Evaluation der Angriffserkennung erfolgt durch ThreaTrace, welches eine Graph Neural Network basierte Methode ist.
Die Evaluierung zeigt, dass mehrere Reduktionstechniken die Datenmenge wesentlich reduzieren können, ohne die Angriffserkennung zu beeinträchtigen. Bei drei Techniken führt der Einsatz zu keinen nennenswerten Veränderungen der Erkennungsraten. Dabei wurden Reduktionsraten von bis zu 30 % erreicht. Bei der Anwendung einer Reduktionstechnik stieg die Erkennungsleistung sogar um 8 %. Lediglich bei zwei Techniken führt der Einsatz zum drastischen Absinken der Erkennungsrate.
Insgesamt zeigt die Arbeit, dass eine Datenreduktion angewandt werden kann, ohne die Angriffserkennung zu beeinträchtigen. In besonderen Fällen kann eine Datenreduktion, die Erkennungsleistung sogar verbessern. Allerdings ist der erfolgreiche Einsatz der Reduktionstechniken abhängig vom verwendeten Datensatz und der verwendeten Methode der Angriffserkennung.
Die Prävention und Erkennung von Cyber-Angriffen ist eine Herausforderung von hoher Bedeutung, da die Digitalisierung nahezu aller Lebensbereiche immer weiter voranschreitet. Im Forschungssektor der sogenannten Intrusion Detection wird fortlaufend untersucht, inwiefern sich Machine Learning (ML) zur Erkennung von Angriffen eignet. Während ML-Algorithmen bei Anwendungsfällen wie Produktempfehlungen oder Spam-Filtern erfolgreich in Produktion eingesetzt werden können, gestaltet sich die Anwendung in der Intrusion Detection schwieriger.
In sogenannten signatur-basierten IDS-Systemen werden Regelwerke eingesetzt, um Angriffe im Netzwerkverkehr zur Laufzeit zu erkennen. Die Erstellung und Verwaltung dieser IDS-Regeln erfolgt normalerweise manuell und erfordert eine hohe Domänenexpertise. Diese Masterthesis liefert einen Forschungsbeitrag, da diese IDS-Regeln erstmals automatisiert unter der Verwendung von Machine Learning erzeugt werden. Die für diesen Zweck entwickelte Toolchain verwendet Entscheidungsbaum-Algorithmen zur Regelerzeugung aus Trainingsdaten. Des Weiteren werden die Regeln für den Einsatz in einem signatur-basierten IDS-System in das Format von Suricata konvertiert.
Die Evaluierung der erzeugten Regeln hat gezeigt, dass in einer Vielzahl von Experimenten hohe Erkennungsraten und wenige Fehlalarme möglich sind. Allerdings basieren die betroffenen Regelwerke zum Teil auf unterkomplexen Zusammenhängen in den zugrundeliegenden Trainingsdaten. Darüber hinaus verfügen die Regelwerke über eine eingeschränkte Generalisierungsfähigkeit. Für ein finales Urteil wäre es notwendig und empfehlenswert, zusätzliche Forschungskapazitäten für die Erstellung repräsentativer IDS-Datensätze aufzuwenden.