idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
Angriffserkennung durch multidimensionale Analyse sicherheitsrelevanter Datenströme
In der aktuellen IT-Landschaft werden bereits viele verschiedene Werkzeuge zum Erkennen von Angriffen, Schwachstellen und ungewolltem Verhalten auf Computersystemen sowie Netzwerken eingesetzt. Im Forschungsvorhaben GLACIER wird untersucht, wie diese Erkennung durch Integration verbessert werden kann bei gleichzeitiger Reduktion der Anzahl von Fehlmeldungen.
Dazu sind neue Konzepte für die Analyse sicherheitsrelevanter Netzwerkdaten nötig. Das Projekt verfolgt dabei den Ansatz, Konzepte zur automatischen Datenaggregation in Kombination mit unterschiedlichen Analyseverfahren zu erforschen. Dadurch wird eine Anomalie nicht nur erkannt, sondern es wird auch die Sicht auf die Daten (Aggregationsebene), die das Fehlverhalten beschreibt, direkt aufgezeigt. Eine manuelle Beschreibung der Aggregation für jede Dimensionskombination entfällt, wodurch die Konfiguration des Systems entscheidend erleichtert wird. Besondere Bedeutung kommt der automatischen und effizienten Verarbeitung zu, die auch mit regulärer Hardware zu bewältigen ist. Im Rahmen dieser gesteigerten Automatisierung der Auswertungsprozesse bekommt auch die Interpretation der Ergebnisse eine erhöhte Relevanz. Hierfür sind Konzepte einer geeigneten Visualisierung relevanter Informationen von zentraler Bedeutung.
Wichtige Anforderungen an das gesamte System sind eine verständliche Modellierung, Aufbereitung und Darstellung der Verfahren und der Auswertungsergebnisse. Als Ergebnis des Forschungsvorhabens soll ein Demonstrator entwickelt werden, der eine effiziente multidimensionale Aggregation von Netzwerkinformationen ermöglicht. Auf dieser Basis werden bestehende und weiterführende Analysemöglichkeiten untersucht und umgesetzt. Beispielsweise kann eine Anomalie-Erkennung entwickelt werden, ohne eine präzise Spezifikation der Vorverarbeitung vom Anwender zu erfordern. Darüber hinaus können sicherheitskritische Vorfälle gefunden werden, die bisher in den wenigen vordefinierten Ansichten der Ereignisse nicht herausstachen.
Besonders im Bereich der Netzwerkdatenverarbeitung treten eine Reihe von Herausforderungen auf:
a) Die Daten zur Angriffserkennung liegen mit sehr vielen kategorialen Merkmalen (multidimensional) vor.
b) Damit verbunden ist eine exponentiell anwachsende Menge an Aggregationsmöglichkeiten.
c) Der Netzwerkdatenstrom liefert zudem kontinuierlich neue Informationen, die während der Auswertung berücksichtigt werden müssen.
Durch die Verzahnung der Hochschul-Forschung und der KMU-Verbundpartner in diesem Projekt, aber auch durch das Interesse der Industrie, werden der Transfer der Ergebnisse in Produkte und Dienstleistungen vorangetrieben und unternehmerische Investitionen ermöglicht. Hierbei wird GLACIER durch identifizierte Interessen der Wirtschaft getrieben, die das Ziel haben, neue Technologien schnell in den Markt bringen zu können, um so durch Forschung einen Marktvorteil zu erlangen. Somit wird der mittelständisch geprägte IT-Sicherheits-Standort Deutschland ausgebaut.
Ziele des Projekts
GLACIER erweitert aktuelle IT-Infrastrukturen um neue Analysemöglichkeiten, deren primäres Ziel die Schaffung und Einhaltung eines hohen Sicherheitsniveaus der jeweiligen Umgebung ist. Es lassen sich folgende Ziele des Vorhabens nennen, die mit den Forschungsschwerpunkten des Arbeitsprogramms übereinstimmen:
a) Vereinheitlichung und Zusammenführung von Log-Informationen
b) Multidimensionale Analyse und Aggregation von „Big Data“
c) Einsatz von maschinellem Lernen unter Einbeziehung von Signaturen, Anomalien und Zeitreihen
d) Visualisierung der Anomalie-Ergebnisse
Im Kern wird das Projekt GLACIER effiziente Verfahren zur automatisierten multidimensionalen Datenanalyse entwickeln. Eine komplexe Aufgabe stellt dabei die Generierung der unterschiedlichen Dimensionskombinationen mit einem hohen Maß an zu verarbeitenden Daten dar. Aus diesem Grund ist insbesondere die möglichst effiziente sowie parallele Verarbeitung ein Hauptaugenmerk des Forschungsvorhabens.
Im Mittelpunkt stehen Methoden aus anderen Anwendungsfeldern, die sich auf Fragestellungen aus dem Bereich der Netzwerksicherheit übertragen lassen. Die wissenschaftliche Literatur bietet bereits fortschrittliche Ansätze. Diese müssen jedoch bezüglich ihrer Anwendbarkeit im Sicherheitsumfeld noch untersucht werden, ehe sie als Grundlage für entsprechende Verfahren zur Datenanalyse im Netzwerkbereich dienen.
Das Vorhaben wird sich mit der Analyse, Auswahl und Übertragung geeigneter Techniken zur automatisierten, multidimensionalen Datenanalyse befassen. Dabei muss die besondere Anforderung der Netzsicherheit auf der Zieldomäne berücksichtig werden.
Das GLACIER-Projekt hat eine Laufzeit von zweieinhalb Jahren. Es unterteilt sich in insgesamt acht inhaltlich voneinander abgegrenzte Arbeitspakete.
Verbundpartner:
- DECOIT GmbH
- Rt-resolutions.de
Prof. Dr. Volker Ahlers
Hochschule Hannover
Ricklinger Stadtweg 120
30459 Hannover
Tel. +49 511 9296-1814
volker.ahlers@hs-hannover.de
Prof. Dr. Felix Heine
Hochschule Hannover
Ricklinger Stadtweg 120
30459 Hannover
Tel. +49 511 9296-1834
felix.heine@hs-hannover.de
Prof. Dr. Carsten Kleiner
Hochschule Hannover
Ricklinger Stadtweg 120
30459 Hannover
Tel. +49 511 9296-1835
carsten.kleiner@hs-hannover.de
Mögliche Gesamtübersicht der Komponeten
Quelle: © HsH
Merkmale dieser Pressemitteilung:
Journalisten, Wissenschaftler
Informationstechnik
überregional
Forschungsprojekte
Deutsch
Mögliche Gesamtübersicht der Komponeten
Quelle: © HsH
Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.
Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).
Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.
Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).
Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).
