netidee
Taming the logs - Vocabularies for semantic security analysis (Semantics 2018)
A report from Semantics 2018 (22.11.2018)
Förderjahr 2017 / Science Call #1 / ProjektID: / Projekt: SEPSES

Von 10 bis 13 September 2018 fand die SEMANTICS Konferenz in Wien statt. Es handelt sich um eine europäische Konferenz mit Fokus auf semantische Technologien und künstlicher Intelligenz, bei der sich Forscher und Industrieexperten zu aktuellen Themen austauschen.

Unser Artikel Taming the logs - Vocabularies for semantic security analysis wurde in dem Research & Innovation Track akzeptiert und auf der Konferenz dem Fachpublikum vorgestellt.

Die Arbeit fasst zum einen das gesamte netidee Science Projektvorhaben zusammen und präsentiert die ersten Projektergebnisse. Die folgende Abbildung zeigt die Gesamtarchitektur der angestrebten Log-Analyseplattform.

Log Extraction Architecture

Diese Plattform soll durch den Einsatz semantischer Technologien Sicherheitsanalysten bei der Überwachung und dem Auffinden von Sicherheitsproblemen über Logdateien unterstützen. Die Analyse von massenhaft heterogenen und teilweise unstrukturierten Logdaten ist hierbei eine wesentliche Herausforderung. Im Zuge dieser Arbeit haben wir uns bereits mit der Anbindung von potentiellen Quellen, sowie der Extraktion der relevanten Daten und der Umwandlung in semantische Formate beschäftigt. Insbesondere gehen wir auf einheitliche Log-Vokabulare ein und stellen einen Vorschlag für eine erweiterbare Ontologie vor.

Die Daten werden auch bereits auf vorhandenes Hintergrundwissen gemappt, um den Analysten diese Arbeit abzunehmen. Beispielsweise kann ein Benutzer mehrere Accounts besitzen, die unterschiedlich in einzelnen Programmen geloggt werden aber alle einem Benutzer zuzuordnen sind. Dies trifft beispielsweise ebenso auf IP Adresse und Hostnamen zu.

Um das Potential darzulegen, präsentieren wir in einem Prototypen, der mittels Logstash Ereignisse sammelt und anschließend in JSON LD unter Zuhilfenahme unserer Vokabulare transformiert. Die erzeugten Daten werden angereichert und in einem SPARQL Endpoint zusammengefasst und können anschließend zentral abgefragt werden.

Die nächsten Schritte werden sich mit der Verbindung einzelner Log-Ereignisse zu übergeordneten Ereignissen befassen.

Andreas Ekelhart

Profile picture for user ae
Andreas is a researcher at University of Vienna and SBA Research. His main research interests include semantic applications and machine learning to strengthen cybersecurity.

Skills:

IT Security
,
Semantic applications
,
Programming
,
Simulation
,
Attacker modeling
,
Ontologies
,
Machine Learning
,
LLMs
CAPTCHA
Diese Frage dient der Überprüfung, ob Sie ein menschlicher Besucher sind und um automatisierten SPAM zu verhindern.

    Weitere Blogbeiträge

    Netidee Blog Bild

    An ATT&CK-KG for Linking CybersecurityAttacks to Adversary Tactics and Techniques (ISWC P&D 2021)

    The paper discusses an extension of our prior work namely Cybersecurity Knowledge Graph (CSKG) with adversary tactics and techniques, to support analysts in connecting log events to higher level attack steps. For this purpose, we developed a vocabula...
    Netidee Blog Bild

    Virtual Knowledge Graphs for Federated Log Analysis (ARES Conference 2021)

    The paper introduces a novel approach to dynamically construct virtual log knowledge graphs directly from heterogeneous raw log files across multiple hosts. It furthermore contextualizes the results with internal and external background knowledge to ...
    Netidee Blog Bild

    The SLOGERT Framework for Automated Log Knowledge Graph Construction (ESWC 2021)

    SLOGERT is an approach to (semi-)automatically transform raw log data, i.e., textual records of system events, into RDF graphs following a sequence of processes. SLOGERT supports automatic identification of rich RDF graph modelling patterns to repres...

    Automated Knowledge Graph Construction From Raw Log Data

    Logs are a crucial source of information to diagnose the health and status of systems, but their manual investigation typically does not scale well and often leads to a lack of awareness and incomplete transparency about issues. To tackle this challe...
    Netidee Blog Bild

    Cross-Platform File System Activity Monitoring and Forensics – A Semantic Approach (IFIPSEC 2020)

    In this paper, we introduce a semantic approach for file system activity monitoring and forensics. We proposed a vocabulary (depicted in Figure 1) for file access information and implement an architecture (shown in Figure 2) for log acquisition, log ...

    Report from the Semantics 2019 Conference

    Semantics 2019 Trip Report

    The SEPSES knowledge graph: An integrated resource for cybersecurity (ISWC 2019)

    Resource paper @ISWC
    File activity graph example

    Semantic Integration and Monitoring of File System Activity (Semantics 2019)

    Semantics 2019 - Poster & Demo Session

    SEPSES Cybersecurity Knowledge Graph (CSKG)

    Im Rahmen des SEPSES-Projekts haben wir einen Cybersecurity Knowledge Graph (CSKG) entwickelt, der Informationen zu identifizierten Software-Schwachstellen, konzeptuellen Entwicklungsfehlern und Angriffsmustern aus verschiedenen öffentlich zugänglich...

    Finding Non-compliances with Declarative Process Constraints through Semantic Technologies (CAiSE’19 Forum)

    Declarative Process Constraints through Semantic Technologies

    Towards Security-Aware Virtual Environments for Digital Twins (CPSS 2018)

    Am 4. Juni 2018 fand der 4. ACM Workshop on Cyber-Physical System Security in Incheon, Korea statt. Dieser Workshop konzentriert sich auf Sicherheitsherausforderungen in Cyber-physischen Systemen und bietet eine Plattform für Experten aus Forschung u...

    Semantic Query Federation for Scalable Security Log Analysis (ESWC 2018)

    In der ersten Juniwoche fand die 15. Extended Semantic Web Conference (ESWC) 2018 auf Kreta statt. Die ESWC ist eine der wichtigsten Konferenzen im Bereich semantischer Technologien und ich hatte die Gelegenheit, meine Arbeit „Semantic Query Federati...
    Netidee Blog Bild

    Presse-Artikel

    Projekt SEPSES in diePresse.at
    Datenschutzinformation
    Impressum | Datenschutz
    Der datenschutzrechtliche Verantwortliche (Internet Privatstiftung Austria - Internet Foundation Austria, Österreich) würde gerne mit folgenden Diensten Ihre personenbezogenen Daten verarbeiten. Zur Personalisierung können Technologien wie Cookies, LocalStorage usw. verwendet werden. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl:
    Sonstige Inhalte (1 Dienst)
    Einbindung zusätzlicher Informationen
    YouTube
    Google Ireland Limited, Irland
    Alle Detailszu YouTube
    Alle Detailszu YouTube