Home Lehre Vorlesungen Praktika Seminare Oberseminare Studentische Arbeiten Bachelorarbeiten Masterarbeiten Regeln für Ausarbeitungen Regeln für Vorträge Mündliche Prüfungen Downloads MNM Team Projekte Publikationen en
 

Funktionen

Print[PRINT]
Lehre MNM Team Projekte Publikationen en
.  Home  .  Lehre  .  Studentische Arbeiten  .  Bachelorarbeiten  .  Ausschreibung

Erkennung Bot-infizierter Systeme mittels Security Information & Event Management (SIEM)

Hintergrund der Arbeit:

Die Gefahr durch Botnetze wächst - laut BSI sind die Zahlen alarmierend. Nicht nur Privatanwender, welche oft einfache Ziele sind, sondern auch Unternehmen und auch Systeme im Hochschulumfeld werden immer häufiger das Ziel von Cyber-Kriminellen. Bei Botnetzen handelt es sich um einen Verbund von Rechnern (Bot, Zombie), welche ohne Wissen der Besitzer der Rechner durch einen Dritten ferngesteuert werden. Botnetze werden in der Regel für den Versand von Spam, DDOS Angriffe, Klickbetrug und andere kriminelle Zwecke verwendet. Die Steuerung eines Botnetzes erfolgt dabei durch einen oder auch mehrere Command & Control Server (C&C Server). Für die Kommunikation zwischen den Bots untereinander und den C&C Servern wurde in der Vergangenheit meist Internet Relay Chat (IRC) verwendet, da es perfekt für die gleichzeitige Kontrolle vieler entfernter Rechner geschaffen ist. ährend IRC in den meisten Unternehmensnetzwerken bereits am Perimeter geblockt und die damit verbundene Gefahr damit unterbunden wird, dient das Protokoll im Hochschulumfeld auch heute noch häufig zum Austausch von Wissen und Information. Ausserdem erfolgt der Austausch der notwendigen Steuerkommandos zwischen Bots und C&C Server auch immer öfter versteckt in anderen Protokollen wie beispielsweise HTTP/HTTPS oder DNS, da sich diese Art der Verbindung nur sehr schwer von normalem Surfverhalten der Mitarbeiter und Studenten unterscheiden lässt. Ein Ansatz zur Enttarnung Bot-infizierter Systeme sind Security Information and Event Management (SIEM) Lösungen. Mit Hilfe dieser Lösungen können Log- und Flow-Daten verschiedener, netzwerkfähiger Geäte, Systeme und Applikationen automatisiert gesammelt, normalisiert, analysiert und korreliert, d.h. in Beziehung gesetzt werden, um Unregelmässigkeiten in der Kommunikation zwischen Informationssystemen, insbesondere in Richtung Internet aufzudecken.

Ziel der Arbeit:

In dieser Bachelorarbeit sollen Flow- und Logdaten aus z.B. Firewalls, DNS- und Routern (Netflows, Mirror-Port) analysiert werden, um auffällige Kommunikationsmuster zu identifizieren, welche auf eine Kommunikation zwischen einem Bot im Hochschulnetz und einem C&C Server hindeuten. Die Untersuchung soll sich dabei sowohl auf bekannte C&C-Server, als auch Kommunikationsmuster, abgleitet aus existierenden Domain Generation Algorithm (DGA) oder Domain Shadowing und darüber hinaus auf noch unbekannte Methoden, speziell bei den Protokollen HTTP/HTTPS erstrecken. Der theoretischen Analyse folgend soll ein Konzept zur Erkennung dieser Kommunikationsmuster mittels SIEM erarbeitet werden. In Form von Use-Cases sollen die Erkennung beschrieben und darauf aufbauend zu deren SIEM-basierter Umsetzung geeignete Korrelations- und Alerting-Regelsätze erstellt werden, wobei ein positives Verhältnis zwischen False Negative (möglichst Null) und False Positive (möglichst gering, maximal 1 pro Tag) erreicht werden soll. Die beschriebenen Use-Cases und Regelsatz-basierte Erkennung sollen abschliessend in einer realen Hochschulumgebung, in der eine SIEM-Lösung bereits seit einigen Jahren erfolgreich eingesetzt wird, getestet und verfeinert werden.

Aufgabensteller:
Priv. Doz. Dr. H. Reiser

Anforderungen:

  • Fundierte Kenntnisse im Bereich IT-Sicherheit
  • Grundlagen Rechnernetze

Dauer des FoPras/SEPs bzw. der Bachelorarbeit: gemäss geltender Prüfungsordnung

Anzahl Bearbeiter: 1

Betreuer:

Last Change: Mon, 11 Dec 2023 07:33:30 +0100 - Viewed on: Wed, 24 Apr 2024 00:51:35 +0200
Copyright © MNM-Team http://www.mnm-team.org - Impressum / Legal Info  - Datenschutz / Privacy