Alarmaggregation und Interessantheitsbewertung in einem dezentralisierten Angriffserkennungssystem
Seiten
2012
WiKu-Verlag Verlag für Wissenschaft und Kultur
978-3-86553-395-1 (ISBN)
WiKu-Verlag Verlag für Wissenschaft und Kultur
978-3-86553-395-1 (ISBN)
- Keine Verlagsinformationen verfügbar
- Artikel merken
Mit der rasant zunehmenden Vernetzung von IT-Systemen ist in den letzten Jahren auch das Bedürfnis nach IT-Sicherheit immer weiter gestiegen. Neben anderen Komponenten stellen Angriffserkennungssysteme einen wichtigen Baustein in einer umfassenden Sicherheitsinfrastruktur dar. Trotz aller Fortschritte im Hinblick auf die zuverlässige Erkennung und Abwehr von Angriffen existieren immer noch eine Reihe ungelöster Probleme, die nicht zuletzt hohe Kosten verursachen und zu einem geringen Vertrauen in Angriffserkennungssysteme führen. Zwei der dringlichsten Probleme sind die große Zahl von Warnmeldungen (Alarme), die von Angriffserkennungssystemen generiert und trotz aller Automatisierung in diesem Bereich immer noch manuell ausgewertet werden müssen sowie die zentralistische Organisation und Kommunikation (verteilter) Angriffserkennungssysteme.
Um das Problem der großen Anzahl an Alarmen in den Griff zu bekommen, wird zunächst ein Verfahren zur online-Aggregation von Alarmen präsentiert. Der neue Ansatz basiert auf einer generativen Modellierung der vorliegenden Angriffssituation bei der versucht wird, alle in der Folge eines Angriffs erzeugten Alarme zu einem kompakten, repräsentativen Meta-Alarm zusammenzufassen.
Aufbauend auf der online-Aggregation wird das Konzept der Interessantheitsbewertung von Meta-Alarmen eingeführt, um die nach der erfolgreichen Aggregation noch verbleibenden falschen, unwichtigen und bereits bekannten Meta-Alarme zu adressieren. Im Hinblick auf unterschiedliche Zielsetzungen werden Maße zur Bewertung der Gültigkeit, Bedrohung, Neuartigkeit und Vollständigkeit von Meta-Alarmen definiert. Mit Hilfe dieser Maße gelingt es, die nach der Aggregation ohnehin schon stark reduzierte Anzahl an Meta-Alarmen noch weiter zu verringern, um so das Reporting an den Benutzer sowie die Kommunikation im verteilten Angriffserkennungssystem zu optimieren.
Als Basis für die Entwicklung der neuen Verfahren und die durchgeführten Experimente wird eine neue Architektur eines verteilten Angriffserkennungssystems vorgestellt. Diese baut auf voneinander unabhängigen, gleich strukturierten Agenten auf, die zur Erfüllung ihrer Aufgabe in einer selbstorganisierten Art und Weise miteinander kooperieren. Die Struktur der Agenten zeichnet sich durch eine klare Trennung unabhängiger Aufgaben sowie den Einsatz von Techniken des maschinellen Lernens wie z.B. Support Vector Machines aus. Durch die Kooperation der Agenten in Form des Austausches von Wissen und Erfahrung gelingt es, schnell und flexibel auf Angriffssituationen zu reagieren. Der Aufbau einer dezentralen Kommunikationsinfrastruktur wird durch den Einsatz moderner Overlay-Techniken aus dem P2P-Bereich ermöglicht.
Um das Problem der großen Anzahl an Alarmen in den Griff zu bekommen, wird zunächst ein Verfahren zur online-Aggregation von Alarmen präsentiert. Der neue Ansatz basiert auf einer generativen Modellierung der vorliegenden Angriffssituation bei der versucht wird, alle in der Folge eines Angriffs erzeugten Alarme zu einem kompakten, repräsentativen Meta-Alarm zusammenzufassen.
Aufbauend auf der online-Aggregation wird das Konzept der Interessantheitsbewertung von Meta-Alarmen eingeführt, um die nach der erfolgreichen Aggregation noch verbleibenden falschen, unwichtigen und bereits bekannten Meta-Alarme zu adressieren. Im Hinblick auf unterschiedliche Zielsetzungen werden Maße zur Bewertung der Gültigkeit, Bedrohung, Neuartigkeit und Vollständigkeit von Meta-Alarmen definiert. Mit Hilfe dieser Maße gelingt es, die nach der Aggregation ohnehin schon stark reduzierte Anzahl an Meta-Alarmen noch weiter zu verringern, um so das Reporting an den Benutzer sowie die Kommunikation im verteilten Angriffserkennungssystem zu optimieren.
Als Basis für die Entwicklung der neuen Verfahren und die durchgeführten Experimente wird eine neue Architektur eines verteilten Angriffserkennungssystems vorgestellt. Diese baut auf voneinander unabhängigen, gleich strukturierten Agenten auf, die zur Erfüllung ihrer Aufgabe in einer selbstorganisierten Art und Weise miteinander kooperieren. Die Struktur der Agenten zeichnet sich durch eine klare Trennung unabhängiger Aufgaben sowie den Einsatz von Techniken des maschinellen Lernens wie z.B. Support Vector Machines aus. Durch die Kooperation der Agenten in Form des Austausches von Wissen und Erfahrung gelingt es, schnell und flexibel auf Angriffssituationen zu reagieren. Der Aufbau einer dezentralen Kommunikationsinfrastruktur wird durch den Einsatz moderner Overlay-Techniken aus dem P2P-Bereich ermöglicht.
Dr. Alexander Hofmann hat von 1996 bis 2002 in Passau Informatik studiert und war von 2004 bis Anfang 2009 als wissenschaftlicher Mitarbeiter am Lehrstuhl für Rechnerstrukturen der Universität Passau tätig. Schwerpunkte seiner Forschung lagen in den Bereichen IT-Sicherheit, Techniken des Maschinellen Lernens, P2P-Systeme sowie Data Mining.
| Sprache | deutsch |
|---|---|
| Maße | 148 x 216 mm |
| Einbandart | gebunden |
| Themenwelt | Technik ► Elektrotechnik / Energietechnik |
| ISBN-10 | 3-86553-395-7 / 3865533957 |
| ISBN-13 | 978-3-86553-395-1 / 9783865533951 |
| Zustand | Neuware |
| Haben Sie eine Frage zum Produkt? |
Mehr entdecken
aus dem Bereich
aus dem Bereich
Kolbenmaschinen - Strömungsmaschinen - Kraftwerke
Buch | Hardcover (2023)
Hanser (Verlag)
49,99 €
