Alarmaggregation und Interessantheitsbewertung in einem dezentralisierten Angriffserkennungssystem
Autoren
Parameter
Mehr zum Buch
Mit der rasant zunehmenden Vernetzung von IT-Systemen ist in den letzten Jahren auch das Bedürfnis nach IT-Sicherheit immer weiter gestiegen. Neben anderen Komponenten stellen Angriffserkennungssysteme einen wichtigen Baustein in einer umfassenden Sicherheitsinfrastruktur dar. Trotz aller Fortschritte im Hinblick auf die zuverlässige Erkennung und Abwehr von Angriffen existieren immer noch eine Reihe ungelöster Probleme, die nicht zuletzt hohe Kosten verursachen und zu einem geringen Vertrauen in Angriffserkennungssysteme führen. Zwei der dringlichsten Probleme sind die große Zahl von Warnmeldungen (Alarme), die von Angriffserkennungssystemen generiert und trotz aller Automatisierung in diesem Bereich immer noch manuell ausgewertet werden müssen sowie die zentralistische Organisation und Kommunikation (verteilter) Angriffserkennungssysteme. Um das Problem der großen Anzahl an Alarmen in den Griff zu bekommen, wird zunächst ein Verfahren zur online-Aggregation von Alarmen präsentiert. Der neue Ansatz basiert auf einer generativen Modellierung der vorliegenden Angriffssituation bei der versucht wird, alle in der Folge eines Angriffs erzeugten Alarme zu einem kompakten, repräsentativen Meta-Alarm zusammenzufassen. Aufbauend auf der online-Aggregation wird das Konzept der Interessantheitsbewertung von Meta-Alarmen eingeführt, um die nach der erfolgreichen Aggregation noch verbleibenden falschen, unwichtigen und bereits bekannten Meta-Alarme zu adressieren. Im Hinblick auf unterschiedliche Zielsetzungen werden Maße zur Bewertung der Gültigkeit, Bedrohung, Neuartigkeit und Vollständigkeit von Meta-Alarmen definiert. Mit Hilfe dieser Maße gelingt es, die nach der Aggregation ohnehin schon stark reduzierte Anzahl an Meta-Alarmen noch weiter zu verringern, um so das Reporting an den Benutzer sowie die Kommunikation im verteilten Angriffserkennungssystem zu optimieren. Als Basis für die Entwicklung der neuen Verfahren und die durchgeführten Experimente wird eine neue Architektur eines verteilten Angriffserkennungssystems vorgestellt. Diese baut auf voneinander unabhängigen, gleich strukturierten Agenten auf, die zur Erfüllung ihrer Aufgabe in einer selbstorganisierten Art und Weise miteinander kooperieren. Die Struktur der Agenten zeichnet sich durch eine klare Trennung unabhängiger Aufgaben sowie den Einsatz von Techniken des maschinellen Lernens wie z. B. Support Vector Machines aus. Durch die Kooperation der Agenten in Form des Austausches von Wissen und Erfahrung gelingt es, schnell und flexibel auf Angriffssituationen zu reagieren. Der Aufbau einer dezentralen Kommunikationsinfrastruktur wird durch den Einsatz moderner Overlay-Techniken aus dem P2P-Bereich ermöglicht.
Buchkauf
Alarmaggregation und Interessantheitsbewertung in einem dezentralisierten Angriffserkennungssystem, Alexander Hofmann
- Sprache
- Erscheinungsdatum
- 2012
Lieferung
Zahlungsmethoden
Feedback senden
- Titel
- Alarmaggregation und Interessantheitsbewertung in einem dezentralisierten Angriffserkennungssystem
- Sprache
- Deutsch
- Autor*innen
- Alexander Hofmann
- Verlag
- WiKu-Verl.
- Erscheinungsdatum
- 2012
- ISBN10
- 3865533957
- ISBN13
- 9783865533951
- Kategorie
- Informatik & Programmierung
- Beschreibung
- Mit der rasant zunehmenden Vernetzung von IT-Systemen ist in den letzten Jahren auch das Bedürfnis nach IT-Sicherheit immer weiter gestiegen. Neben anderen Komponenten stellen Angriffserkennungssysteme einen wichtigen Baustein in einer umfassenden Sicherheitsinfrastruktur dar. Trotz aller Fortschritte im Hinblick auf die zuverlässige Erkennung und Abwehr von Angriffen existieren immer noch eine Reihe ungelöster Probleme, die nicht zuletzt hohe Kosten verursachen und zu einem geringen Vertrauen in Angriffserkennungssysteme führen. Zwei der dringlichsten Probleme sind die große Zahl von Warnmeldungen (Alarme), die von Angriffserkennungssystemen generiert und trotz aller Automatisierung in diesem Bereich immer noch manuell ausgewertet werden müssen sowie die zentralistische Organisation und Kommunikation (verteilter) Angriffserkennungssysteme. Um das Problem der großen Anzahl an Alarmen in den Griff zu bekommen, wird zunächst ein Verfahren zur online-Aggregation von Alarmen präsentiert. Der neue Ansatz basiert auf einer generativen Modellierung der vorliegenden Angriffssituation bei der versucht wird, alle in der Folge eines Angriffs erzeugten Alarme zu einem kompakten, repräsentativen Meta-Alarm zusammenzufassen. Aufbauend auf der online-Aggregation wird das Konzept der Interessantheitsbewertung von Meta-Alarmen eingeführt, um die nach der erfolgreichen Aggregation noch verbleibenden falschen, unwichtigen und bereits bekannten Meta-Alarme zu adressieren. Im Hinblick auf unterschiedliche Zielsetzungen werden Maße zur Bewertung der Gültigkeit, Bedrohung, Neuartigkeit und Vollständigkeit von Meta-Alarmen definiert. Mit Hilfe dieser Maße gelingt es, die nach der Aggregation ohnehin schon stark reduzierte Anzahl an Meta-Alarmen noch weiter zu verringern, um so das Reporting an den Benutzer sowie die Kommunikation im verteilten Angriffserkennungssystem zu optimieren. Als Basis für die Entwicklung der neuen Verfahren und die durchgeführten Experimente wird eine neue Architektur eines verteilten Angriffserkennungssystems vorgestellt. Diese baut auf voneinander unabhängigen, gleich strukturierten Agenten auf, die zur Erfüllung ihrer Aufgabe in einer selbstorganisierten Art und Weise miteinander kooperieren. Die Struktur der Agenten zeichnet sich durch eine klare Trennung unabhängiger Aufgaben sowie den Einsatz von Techniken des maschinellen Lernens wie z. B. Support Vector Machines aus. Durch die Kooperation der Agenten in Form des Austausches von Wissen und Erfahrung gelingt es, schnell und flexibel auf Angriffssituationen zu reagieren. Der Aufbau einer dezentralen Kommunikationsinfrastruktur wird durch den Einsatz moderner Overlay-Techniken aus dem P2P-Bereich ermöglicht.