Please use this identifier to cite or link to this item: http://dx.doi.org/10.14279/depositonce-6411
Main Title: Distributed log analysis for scenario-based detection of multi-step attacks and generation of near-optimal defense recommendations
Translated Title: Verteilte Protokollanalyse zur szenario-basierten Erkennung von mehrstufigen Angriffen und Erzeugung von nahezu optimalen Verteidigungsempfehlungen
Author(s): Kaynar, Kerem
Advisor(s): Albayrak, Sahin
Referee(s): Albayrak, Sahin
Schill, Alexander
Levi, Albert
Granting Institution: Technische Universität Berlin
Type: Doctoral Thesis
Language Code: en
Abstract: Detecting related, ongoing actions of attackers is significant for providing a complete situational assessment of security and determining the most effective reactive defense measures for a network. The logs generated by software running across the network can be used for this purpose, since they may contain the traces of malicious activities occurring inside the network. Primary logs that indicate security alerts such as vulnerability exploits can be used to compute the attack paths that are likely being followed by the attackers. Attack graphs are utilized to represent the attack paths. One of the main contributions of this thesis work is the proposal of a distributed attack graph generation algorithm eliminating the scalability problem inherent in attack graph computation for even medium scale networks. Secondary logs are not directly related to security alerts. However, the usage of these logs can provide more insight into the activities of the attackers. We contribute to the secondary log processing by generating behavioural malware signatures and matching them to the secondary logs. The instantiated malware signatures are integrated with the computed attack graphs. The scalability problems caused by the high volume of secondary logs are alleviated by utilizing a stream-based Big Data infrastructure. Response to the ongoing attack scenarios is performed by applying an optimization method that utilizes a specifically designed candidate selection function and the computed attack graphs.
Die Erkennung verwandter, laufender Aktionen von Angreifern ist bedeutend für eine umfassende Situationsbewertung der Netzwerksicherheit und die Bestimmung der wirksamsten, reaktiven Gegenmaßnahmen für ein Netzwerk. Die Log-Einträge, die von den Software generiert werden, die auf das Netzwerk laufen, können zu diesem Zweck verwendet werden, da sie die Spuren von bösartigen Aktivitäten enthalten können, die innerhalb des Netzwerks auftreten. Primäre Log-Einträge, die Sicherheitsalarme wie die Ausnutzungen der Schwachstellen angeben, können verwendet werden, um die Angriffspfade zu berechnen, die von einem potenziellen Angreifer wahrscheinlich verfolgt werden. Angriffsgraphen werden eingesetzt, um die Angriffspfade darzustellen. Einer der Hauptbeiträge dieser Doktorarbeit ist der Vorschlag eines verteilten Algorithmus zur Generierung der Angriffsgraphen, der das Skalabilitätsproblem beseitigen kann, das in der Angriffsgraphberechnung für auch mittlere Netzwerke inhärent ist. Sekundäre Log-Einträge sind nicht direkt mit Sicherheitsalarmen verknüpft. Die Verwendung dieser Log-Einträge kann jedoch einen besseren Einblick in die Aktivitäten der Angreifer ermöglichen. Wir tragen zur Verarbeitung der sekundären Log-Einträge durch die Generierung von Verhaltens-Malware-Signaturen und die Übereinstimmung von diesen Malware-Signaturen an die sekundären Log-Einträge bei. Die instantiierten Malware-Signaturen werden mit den berechneten Angriffsgraphen integriert. Die Skalabilitätsprobleme, die durch das hohe Volumen an sekundären Log-Einträge verursacht werden, werden durch die Nutzung einer streambasierten Big Data-Infrastruktur gemildert. Die Bestimmung der entsprechenden Reaktionen auf die anhaltenden Angriffsszenarien wird durch die Anwendung einer Optimierungsmethode ausgeführt, die eine speziell gestaltete Kandidatenauswahlfunktion und die berechneten Angriffsgraphen verwendet.
URI: https://depositonce.tu-berlin.de//handle/11303/7105
http://dx.doi.org/10.14279/depositonce-6411
Exam Date: 19-Sep-2017
Issue Date: 2017
Date Available: 9-Nov-2017
DDC Class: DDC::000 Informatik, Informationswissenschaft, allgemeine Werke::000 Informatik, Wissen, Systeme::000 Informatik, Informationswissenschaft, allgemeine Werke
Subject(s): attack graph
attack scenario
vulnerability exploit
malware
optimal network hardening
Angriffsgraphen
Angriffsszenario
Schwachstellenausnutzung
bösartige Software
optimale Netzwerkverhärtung
Usage rights: Terms of German Copyright Law
Appears in Collections:Institut für Wirtschaftsinformatik und Quantitative Methoden » Publications

Files in This Item:
File Description SizeFormat 
kaynar_kerem.pdf3.45 MBAdobe PDFView/Open


Items in DepositOnce are protected by copyright, with all rights reserved, unless otherwise indicated.