netidee
Semantische Verarbeitung sicherheitsbezogener Ereignisströme

Semantische Verarbeitung sicherheitsbezogener Ereignisströme

Komplexe IT-Systeme haben heute — für viele oft unbewusst, da diese zumeist im Hintergrund arbeiten — in fast allen Lebensbereichen Einzug in den Alltag gehalten. Die Betreiber solcher Systeme sehen sich zunehmend mit Herausforderungen wie hochentwickelter Schadsoftware und gezielten Angriffen konfrontiert. Viele für den Benutzer einfach erscheinende Aktivitäten, wie etwa die Nutzung von Kommunikationsdiensten oder ein Login in ein Online-Banking System, erfordern eine Reihe von komplexen technischen Vorgängen. Da diese Vorgänge eine Angriffsfläche bieten, werden sie in der Regel laufend, zusammen mit allgemeinen Informationen über Systemzustände, in umfangreichen Ereignisprotokollen festgehalten. Die zunehmende Fülle der dabei anfallenden Daten stellt verantwortliche Systemadministratoren vor große Herausforderungen. Die Inhalte sind für Computer nicht unmittelbar verständlich und müssen zur Bewertung und Überprüfung der Systemsicherheit oftmals manuell ausgewertet werden. Da dies in größeren Systemen mit hoher Benutzerzahl nicht praktikabel ist, werden illegitime Aktivitäten häufig nicht oder erst sehr spät erkannt.

Das Projekt SEPSES verfolgt einen innovativen Ansatz zur Lösung dieser Probleme, indem es Computern ermöglicht, Ereignisströme aus unterschiedlichen Quellen in Echtzeit zu interpretieren und daraus Schlüsse auf möglicherweise stattfindende Angriffe zu ziehen um diese zeitnah zu erkennen, nachzuvollziehen, und zu beseitigen. Dazu bedient sich SEPSES innovativer Methoden und verbindet Sicherheitsforschung mit semantischen Technologien und Ansätzen zur Datenstromverarbeitung.

Um eine bessere Erkennung von Angriffsaktivitäten zu ermöglichen, müssen eine Reihe von konzeptionellen und technischen Hürden überwunden werden. Erstens ist es erforderlich, großvolumige Datenströme in Echtzeit zu vereinheitlichen und in eine maschineninterpretierbare Form zu bringen. Dies erfordert die Entwicklung einer für Computer interpretierbaren Beschreibung des relevanten Sicherheitswissens. Zweitens müssen diese Ströme an zentraler Stelle zusammengeführt und integriert werden. Dabei ist es entscheidend, einzelne Vorgänge nicht isoliert zu betrachten, sondern Zusammenhänge (z.B. zwischen einzelnen Aktivitäten eines Angreifers) herzustellen. Der dadurch gewonnene umfassende Blick auf Vorgänge in der Systemlandschaft ermöglicht es drittens, allgemeine Angriffsmuster zu definieren und diese Muster in Echtzeit zu erkennen. Damit können automatisiert Rückschlüsse gezogen werden, die zuvor unerkannte Angriffe aufdecken.

Die im Projekt entwickelten Methoden bilden die Grundlagen für den kontinuierlichen Austausch von Sicherheitswissen, das heute einer permanenten Dynamik unterliegt. Damit wird es etwa möglich, eine öffentliche Sammlung von bekannten allgemeinen Angriffsmustern aufzubauen. Außerdem legen die entwickelten Methoden den Grundstein für intelligente Diagnosen und Erkennung neuartiger Angriffsmuster sowie eine Grundlage für innovative Sicherheitsanwendungen, etwa zur nachvollziehbaren Aufbereitung und Visualisierung von Vorgängen, zur Unterstützung von forensischen Analysen, und zum „Mining“ von Protokollarchiven.

Themengebiet

Sicherheit | Privacy | Überwachung

Uni | FH [Universität]

Technische Universität Wien

Projektteam

Male avatar
Elmar Kiesling
Profile picture for user ae
Andreas Ekelhart
Male avatar
Kabul Kurniawan

Blogbeiträge

Netidee Blog Bild
The paper discusses an extension of our prior work namely Cybersecurity Knowledge Graph (CSKG) with adversary tactics and techniques, to support analysts in connecting log events to higher level attack steps. For this purpose, we developed a vocabula

( )
An ATT&CK-KG for Linking CybersecurityAttacks to Adversary Tactics and Techniques (ISWC P&D 2021)

Netidee Blog Bild
The paper introduces a novel approach to dynamically construct virtual log knowledge graphs directly from heterogeneous raw log files across multiple hosts. It furthermore contextualizes the results with internal and external background knowledge to

( )
Virtual Knowledge Graphs for Federated Log Analysis (ARES Conference 2021)

Netidee Blog Bild
SLOGERT is an approach to (semi-)automatically transform raw log data, i.e., textual records of system events, into RDF graphs following a sequence of processes. SLOGERT supports automatic identification of rich RDF graph modelling patterns to repres

( )
The SLOGERT Framework for Automated Log Knowledge Graph Construction (ESWC 2021)

Logs are a crucial source of information to diagnose the health and status of systems, but their manual investigation typically does not scale well and often leads to a lack of awareness and incomplete transparency about issues. To tackle this challe

( )
Automated Knowledge Graph Construction From Raw Log Data

Netidee Blog Bild
In this paper, we introduce a semantic approach for file system activity monitoring and forensics. We proposed a vocabulary (depicted in Figure 1) for file access information and implement an architecture (shown in Figure 2) for log acquisition, log

( )
Cross-Platform File System Activity Monitoring and Forensics – A Semantic Approach (IFIPSEC 2020)

Semantics 2019 Trip Report

( )
Report from the Semantics 2019 Conference

Resource paper @ISWC

( )
The SEPSES knowledge graph: An integrated resource for cybersecurity (ISWC 2019)

File activity graph example
Semantics 2019 - Poster & Demo Session

( )
Semantic Integration and Monitoring of File System Activity (Semantics 2019)

Im Rahmen des SEPSES-Projekts haben wir einen Cybersecurity Knowledge Graph (CSKG) entwickelt, der Informationen zu identifizierten Software-Schwachstellen, konzeptuellen Entwicklungsfehlern und Angriffsmustern aus verschiedenen öffentlich zugänglich

( )
SEPSES Cybersecurity Knowledge Graph (CSKG)

Declarative Process Constraints through Semantic Technologies

( )
Finding Non-compliances with Declarative Process Constraints through Semantic Technologies (CAiSE’19 Forum)

Von 10 bis 13 September 2018 fand die SEMANTICS https://2018.semantics.cc/ Konferenz in Wien statt. Es handelt sich um eine europäische Konferenz mit Fokus auf semantische Technologien und künstlicher Intelligenz, bei der sich Forscher und Industriee

( )
Taming the logs - Vocabularies for semantic security analysis (Semantics 2018)

Am 4. Juni 2018 fand der 4. ACM Workshop on Cyber-Physical System Security in Incheon, Korea statt. Dieser Workshop konzentriert sich auf Sicherheitsherausforderungen in Cyber-physischen Systemen und bietet eine Plattform für Experten aus Forschung u

( )
Towards Security-Aware Virtual Environments for Digital Twins (CPSS 2018)

In der ersten Juniwoche fand die 15. Extended Semantic Web Conference (ESWC) 2018 auf Kreta statt. Die ESWC ist eine der wichtigsten Konferenzen im Bereich semantischer Technologien und ich hatte die Gelegenheit, meine Arbeit „Semantic Query Federati

( )
Semantic Query Federation for Scalable Security Log Analysis (ESWC 2018)

Netidee Blog Bild
Projekt SEPSES in diePresse.at

( )
Presse-Artikel

Weitere Science

Orientation in Conspiration – ORION
FRESH: Foundations of Reasoning in the Shape Constraint Language
Fast Algorithms for a Reactive Network Layer
PENNI: Richtlinienbasiertes Internet der nächsten Generation
PROFET
Datenschutzinformation
Impressum | Datenschutz
Der datenschutzrechtliche Verantwortliche (Internet Privatstiftung Austria - Internet Foundation Austria, Österreich würde gerne mit folgenden Diensten Ihre personenbezogenen Daten verarbeiten. Zur Personalisierung können Technologien wie Cookies, LocalStorage usw. verwendet werden. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl:
Sonstige Inhalte (1 Dienst)
Einbindung zusätzlicher Informationen
YouTube
Google Ireland Limited, Irland
Alle Detailszu YouTube
Alle Detailszu YouTube