Detektion sicherheitskritischer Ereignisse in Unternehmensnetzwerken mittels Data Mining

Abstract

E-Mails, Online Banking und Videokonferenzen sind aus unserem heutigen Alltag nicht mehr wegzudenken. Bei all diesen Aktivitaten werden zahlreiche personenbezogene Informationen und vertrauenswurdige Daten digital ubertragen und gespeichert. Zur Sicherstellung der digitalen Daten vor unbefugten Zugriffen und Manipulationen existieren verschiedenste Konzepte, Methoden und Verfahren, die sich unter dem Begriff IT-Sicherheit zusammenfassen lassen. Klassische Sicherheitslosungen aus dem Bereich IT-Sicherheit sind Firewalls und Virenscanner. Derartige Ansatze sind meist regelbasiert und prufen Dateien beziehungsweise eingehenden Netzwerkverkehr anhand einer Liste bekannter Angriffssignaturen. Folglich konnen diese Systeme nur bereits bekannte Angriffsszenarien detektieren und bieten keinen Schutz vor neuartigen Angriffen. Somit entsteht im Bereich IT-Sicherheit ein Wettlauf zwischen Hackern und IT-Sicherheitsexperten, bei dem die Hacker stets nach neuen Mitteln und Wegen suchen, die existierenden Sicherheitslosungen zu uberwinden, wahrend IT-Sicherheitsexperten stetig ihre Schutzmechanismen verbessern. \n \nDie vorliegende Arbeit widmet sich der Detektion von Angriffsszenarien in Unternehmensnetzwerken mithilfe von Data Mining-Methoden. Diese Methoden sind in der Lage anhand von reprasentativen Daten die darin enthaltenen Strukturen zu erlernen und zu generalisieren. Folglich konnen sich Data Mining-Methoden grundsatzlich zur Detektion neuer Angriffsszenarien eignen, wenn diese Angriffsszenarien Uberschneidungen mit bekannten Angriffsszenarien aufweisen oder sich wesentlich vom bekannten Normalverhalten unterscheiden. In dieser Arbeit werden netzwerkbasierte Daten im NetFlow Format analysiert, da diese einen aggregierten Uberblick uber das Geschehen im Netzwerk bieten. Haufig konnen Netzwerkdaten aufgrund datenschutzrechtlicher Bedenken nicht veroffentlicht werden, was fur die Erzeugung synthetischer, aber realistischer Netzwerkdaten spricht. Des Weiteren fuhrt die Beschaffenheit der Netzwerkdaten dazu, dass eine Kombination von kontinuierlichen und kategorischen Attributen analysiert werden muss, was vor allem das Vergleichen der Daten bezuglich ihrer Ahnlichkeit erschwert. \n \nDiese Arbeit liefert methodische Beitrage zu jeder der drei genannten Herausforderungen. Im Bereich der Abstandsberechnung kategorischer Werte werden mit ConDist und IP2Vec zwei unterschiedliche Ansatze entwickelt. ConDist ist ein universell einsetzbares Abstandsmas zur Berechnung von Abstanden zwischen Datenpunkten, die aus kontinuierlichen und kategorischen Attributen bestehen. IP2Vec ist auf Netzwerkdaten spezialisiert und transformiert kategorische Werte in kontinuierliche Vektoren. \n \nIm Bereich der Generierung realistischer Netzwerkdaten werden neben einer ausfuhrlichen Literaturrecherche zwei unterschiedliche Ansatze vorgestellt. Zunachst wird ein auf Simulation basierter Ansatz zur Generierung flowbasierter Datensatze entwickelt. Dieser Ansatz basiert auf einer Testumgebung und simuliert typische Benutzeraktivitaten durch automatisierte Python Skripte. Parallel hierzu wird ein zweiter Ansatz zur synthetischen Generierung flowbasierter Netzwerkdaten durch Modellierung mithilfe von Generative Adversarial Networks entwickelt. Dieser Ansatz erlernt die zugrundeliegenden Eigenschaften der Netzwerkdaten und ist anschliesend in der Lage, neue Netzwerkdaten mit gleichen Eigenschaften zu generieren.Wahrend sich der erste Ansatz zur Erstellung neuer Datensatze eignet, kann der zweite Ansatz zur Anreicherung existierender Datensatze genutzt werden. \n \nSchlieslich liefert diese Arbeit noch zwei Beitrage zur Detektion von Angriffsszenarien. Im ersten Beitrag wird ein Konzept zur Detektion von Angriffsszenarien entwickelt, welches sich an die typischen Phasen eines Angriffsszenarios orientiert. Im zweiten Beitrag werden eine uberwachte und eine unuberwachte Methode zur Detektion von langsamen Port Scans vorgestellt.