Logdaten-Analyse-System

Archiv - Übersicht
Internet-Kennzahlen-System
- Übersicht -Internet-Kennzahlen-System
- Ziel und Nutzen
- Einteilung der Zielgruppen
- Vorgehensweise
- Technische Umsetzung
- Partizipation
- Weiterführende Informationen
Internet-Frühwarnsysteme
- Internet-Analyse-System
- Logdaten-Analyse-System
- Internet-Verfügbarkeits-System
- Visualisierung vom Zustand des Internets
- Globale Sichtweise
- iAID
- FIDeS
- FISHA
- Ergebnisse - IFws
Botnetze
- Moderne Botnetzerkennung
- Botnetz-Analyse
- Sandnet
- Spam-Analyse
- IPMapViewer
- Blacklisting
- E-Mail-Adress-Harvesting
- Umfragen
- Mozi
Mobile Security
Vertrauenswürdige IT-Systeme
- Idee
- iTES
- Turaya
- tNAC
- STIT
- TCN
- F&E Vorhaben: Bundeswehr
- Medien
Identity Management
- Definitionen und Abgrenzung
- Mehrwerte bei IdM
- IdM-Referenzmodell
- IdM-Lebenszyklus
- Standards und Schnittstellen
- Anbieter und Produkte
Elektronischer Personalausweis
- Berechtigungszertifikat
- Bürgerclient
Security for smart objects
- Übersicht - Smart Home
- Secure eMobility(SecMobil)
Cloud Computing
Soziale Netze
Zahlungssysteme und Banktransaktionen
- Abschlussarbeit: Übersicht und Bewertung von Zahlungssystemen
- Symposium: Betrugsschutz beim Online-Banking
- Virtuelle Währungen
- Forschungsprojekt: Betrugsschutz beim Online-Banking
- Ein Alert-System im Online-Banking
- Ist-Analyse: Angriffe auf das Online-Banking
- Nutzeraspekte und Mensch-Maschine-Interaktion
Digitales Krankenhaus
- Übersicht - Digitales Krankenhaus
- Aufbau eines digitalen Krankenhauses
- Hintergrund
Sicheres Chatten
- Übersicht - Sicheres Chatten
- SecureChat
- MediationChat
- Zusammenarbeit
- Technologie
- Links - Sicheres Chatten
Software-Patente
Voice over IP
- Voice over IP-test
Web-Service-Security
Strukturelle Analyse des Internet
- Idee und Zielsetzung
- Ergebnisse - SAdI
- Links - SAdI
- Informationen
Verifi-eID
IT-Sicherheitskonzept Westfälische Hochschule
Gesundheitswesen
- Zelia (Zuhause eigenständig leben im Alter)
- MITASSIST
- Dexter
Blockchain Technologie
- Wie ist die Blockchain aufgebaut?
- Blockchain Technologie als Kollaborations-Tool
- Wie kann Blockchain helfen die IT-Sicherheit zu erhöhen?
- Veröffentlichungen
Homographischer Angriff auf Neon Wallet
Cybersicherheit und Künstliche Intelligenz
- Service-Meister
- Maschinelles Lernen in der Cybersicherheit
- Model Extraction Attack
- Evasion Attack
- Poisoning Attack

Ziel

Logdaten sind in jedem Netzwerk eine wesentliche Informationsquelle, wenn es darum geht, Hard- und Softwareprobleme, sowie Ressourcenengpässe zu lokalisieren. Aber auch Sicherheitsprobleme und Angriffe auf die betriebenen Dienste lassen sich an Logdaten ablesen. Neben dem hohen Aufwand, dessen es bedarf, um eine umfassende Logging-Infrastruktur aufzubauen, sind die sensiblen Information wie IP-Adressen und Benutzernamen, die in Logdaten enthalten sein können, ein entscheidender Grund dafür, dass Logdaten so selten in die Sicherheitskonzepte der einzelnen Unternehmen integriert werden. Mit dem Logdaten-Analyse-System (LAS) stellt das if(is) ein Konzept vor, das diese datenschutzrechtlichen Bedenken gegenüber Logdaten zerstreuen soll, so dass bestehende Sicherheitskonzepte um die Stärken der Logdatenanalyse erweitert werden können.

Vorgehensweise

Die grundlegende Idee des LAS ist, dass die gesamte Kommunikation mit einem Dienst in Logdaten aufgezeichnet wird, also auch die mit einem potentiellen Angreifer. Da das Verhalten eines Angreifers aber deutlich vom normalen Nutzerverhalten abweicht, hinterlassen die Angriffe in den Protokollen signifikante Muster. Die Logdaten der überwachten Systeme und Dienste werden als Live-Datenstrom an einem zentralen Log-Host zusammengeführt (vgl. Abb. 1), um die Übersichtlichkeit zu erhöhen und die Korrelation der Daten sowie eine leichtere Weiterverarbeitung zu ermöglichen. Der Live-Datenstrom wird am zentralen Log-Host mit Hilfe zweier verschiedener Analysetechniken untersucht.

Anonymisierte Langzeitanalyse

Bei der anonymisierten Langzeitanalyse kommt, wie auch beim IAS, das Prinzip der Deskriptoren zum Einsatz. Dazu werden in den Logdaten Ereignisse definiert, deren Auftreten in zeitlichen Intervallen gezählt wird, so dass sich die zeitlichen Häufigkeitsverläufe dieser Ereignisse grafisch darstellen lassen. Auf diese Weise werden die Logdaten anonymisiert und können dann mit den Daten anderer Netzwerke zu einer globalen Sichtweise zusammengefügt und statistisch ausgewertet werden. Dieses Verfahren ermöglicht somit, Angriffssituationen und Anomalien zu erkennen, Verhaltensmuster und -profile zu erstellen und einen Überblick über den aktuellen Zustand des Internets zu erlangen.

Echtzeitanalyse mit Alarmierung

Bei der Echtzeitanalyse wird der Live-Datenstrom der Logdaten in nahezu Echtzeit regelbasiert auf Angriffe hin überprüft. Zu diesem Zweck wird einerseits eine Signaturerkennung eingesetzt, um bekannte Angriffsmuster präzise zu erkennen, andererseits wird aber auch eine Anomalieerkennung durchgeführt, in der mit Hilfe von Schwellenwertanalysen und dem Einsatz von Heuristiken auch unbekannte Angriffe identifiziert werden können. Sobald ein Angriff festgestellt wurde, wird ein Alarm ausgelöst. Dadurch ist eine zeitnahe Reaktion auf den Angriff in Form des Ergreifens von Schutzmaßnahmen gegen diese konkrete Bedrohung möglich, wodurch ein drohender Schaden minimiert werden kann. Die Logdaten, an Hand derer der Angriff detektiert wurde, und nur diese, werden im Schadszenario mit dem EagleX-Analysis-Client dargestellt und lassen sich als Grundlage zur Forensik und juristischen Verfolgung der Angreifer einsetzen. Alle sicherheitstechnisch irrelevanten Logdaten bleiben dem Analysten verborgen und werden nicht persistent gemacht.

Institut für Internet-Sicherheit – if(is)