Alarmaggregation und Interessantheitsbewertung in einem dezentralisierten Angriffserkennungssystem

Más información sobre el libro

Mit der rasant zunehmenden Vernetzung von IT-Systemen ist das Bedürfnis nach IT-Sicherheit gestiegen. Angriffserkennungssysteme sind ein zentraler Bestandteil einer umfassenden Sicherheitsinfrastruktur. Trotz Fortschritten in der Erkennung und Abwehr von Angriffen bestehen weiterhin ungelöste Probleme, die hohe Kosten verursachen und das Vertrauen in diese Systeme mindern. Zwei der drängendsten Herausforderungen sind die Vielzahl an Warnmeldungen, die oft manuell ausgewertet werden müssen, sowie die zentrale Organisation und Kommunikation in verteilten Angriffserkennungssystemen. Um die Alarmflut zu bewältigen, wird ein Verfahren zur online-Aggregation von Alarmen vorgestellt, das auf einer generativen Modellierung der Angriffssituation basiert. Dieses zielt darauf ab, alle durch einen Angriff erzeugten Alarme zu einem kompakten, repräsentativen Meta-Alarm zusammenzufassen. Zudem wird das Konzept der Interessantheitsbewertung von Meta-Alarmen eingeführt, um verbleibende falsche und unwichtige Alarme zu adressieren. Es werden Maße zur Bewertung der Gültigkeit, Bedrohung, Neuartigkeit und Vollständigkeit von Meta-Alarmen definiert, um die Anzahl weiter zu reduzieren und die Kommunikation im System zu optimieren. Die neue Architektur des verteilten Angriffserkennungssystems basiert auf unabhängigen, gleich strukturierten Agenten, die selbstorganisiert kooperieren und Techniken des maschinellen Lernens nutzen, um flexibel auf Angr