Thumbnail Image

Distributed log analysis for scenario-based detection of multi-step attacks and generation of near-optimal defense recommendations

Kaynar, Kerem

Detecting related, ongoing actions of attackers is significant for providing a complete situational assessment of security and determining the most effective reactive defense measures for a network. The logs generated by software running across the network can be used for this purpose, since they may contain the traces of malicious activities occurring inside the network. Primary logs that indicate security alerts such as vulnerability exploits can be used to compute the attack paths that are likely being followed by the attackers. Attack graphs are utilized to represent the attack paths. One of the main contributions of this thesis work is the proposal of a distributed attack graph generation algorithm eliminating the scalability problem inherent in attack graph computation for even medium scale networks. Secondary logs are not directly related to security alerts. However, the usage of these logs can provide more insight into the activities of the attackers. We contribute to the secondary log processing by generating behavioural malware signatures and matching them to the secondary logs. The instantiated malware signatures are integrated with the computed attack graphs. The scalability problems caused by the high volume of secondary logs are alleviated by utilizing a stream-based Big Data infrastructure. Response to the ongoing attack scenarios is performed by applying an optimization method that utilizes a specifically designed candidate selection function and the computed attack graphs.
Die Erkennung verwandter, laufender Aktionen von Angreifern ist bedeutend für eine umfassende Situationsbewertung der Netzwerksicherheit und die Bestimmung der wirksamsten, reaktiven Gegenmaßnahmen für ein Netzwerk. Die Log-Einträge, die von den Software generiert werden, die auf das Netzwerk laufen, können zu diesem Zweck verwendet werden, da sie die Spuren von bösartigen Aktivitäten enthalten können, die innerhalb des Netzwerks auftreten. Primäre Log-Einträge, die Sicherheitsalarme wie die Ausnutzungen der Schwachstellen angeben, können verwendet werden, um die Angriffspfade zu berechnen, die von einem potenziellen Angreifer wahrscheinlich verfolgt werden. Angriffsgraphen werden eingesetzt, um die Angriffspfade darzustellen. Einer der Hauptbeiträge dieser Doktorarbeit ist der Vorschlag eines verteilten Algorithmus zur Generierung der Angriffsgraphen, der das Skalabilitätsproblem beseitigen kann, das in der Angriffsgraphberechnung für auch mittlere Netzwerke inhärent ist. Sekundäre Log-Einträge sind nicht direkt mit Sicherheitsalarmen verknüpft. Die Verwendung dieser Log-Einträge kann jedoch einen besseren Einblick in die Aktivitäten der Angreifer ermöglichen. Wir tragen zur Verarbeitung der sekundären Log-Einträge durch die Generierung von Verhaltens-Malware-Signaturen und die Übereinstimmung von diesen Malware-Signaturen an die sekundären Log-Einträge bei. Die instantiierten Malware-Signaturen werden mit den berechneten Angriffsgraphen integriert. Die Skalabilitätsprobleme, die durch das hohe Volumen an sekundären Log-Einträge verursacht werden, werden durch die Nutzung einer streambasierten Big Data-Infrastruktur gemildert. Die Bestimmung der entsprechenden Reaktionen auf die anhaltenden Angriffsszenarien wird durch die Anwendung einer Optimierungsmethode ausgeführt, die eine speziell gestaltete Kandidatenauswahlfunktion und die berechneten Angriffsgraphen verwendet.