Anomaly detection through massive event correlation in ICT networks

Abstract

Zsfassung in dt. Sprache. - Literaturverz. S. 111 - 113Mit der Entwicklung und dem verbreiteten Einsatz von Informations- und Kommunikationsnetzwerken stieg auch der Umfang und die Komplexität von Attacken in diesen Netzwerken. Jüngste Vorfälle zeigen, dass aktuelle Sicherheitssysteme nicht ausreichen, um gezielte und gut vorbereitete Angriffe zu verhindern. War eine Attacke erst erfolgreich, ist eine zeitnahe Erkennung wichtig um die Auswirkungen einzudämmen. Mit der verbreiteten Anwendung von Internet Protokollen im Bereich von -Supervisory and Data Acquisistion- (SCADA) Systemen sind industrielle Netzwerke oft schon jetzt den selben Bedrohungen ausgesetzt wie herkömmliche, vernetzte Systeme. Diese Arbeit präsentiert einen neuartigen Anomalieerkennungsansatz. Dieser basiert auf der zeitlichen Korrelaion von Log-Datein verschiedener Systeme in einem überwachten Netzwerk. Das System generiert ein Modell, welches das normale Verhalten verscheidener Komponenten im überwachten System beschreibt. Dabei verlässt sich das System nicht auf vordefinierte Regeln und benötigt auch kein Wissen über Syntax oder Semantik der Log-Zeilen, die es verarbeiten muss. Stattdessen wird das Model auf Basis der verarbeiteten Zeilen erstellt und fortlaufend weiterentwickelt, solange das Netzwerk überwacht wird. Ein vollständig kontrolliertes Netzwerk wird verwendet, um Testdaten zu generieren, die frei von Anomalien sind. Anhand dieser Testdaten wird gezeigt, dass das generierte Model in der Lage ist, aussagekräftige Teilmengen der verarbeiteten Zeilen zu unterscheiden. Diese Teilmengen werden weiters verwendet, um zu zeigen, dass auch Implikationen zwischen Ereignissen verschiedener, verteilter Komponenten erkannt werden. Basierend auf einem semi-synthetischen Datensatz, in dem Anomalien eingebaut sind, wird die Anwendbarkeit des Ansatzes in herkömmlichen IT-Netzwerken demonstriert. Weiters wird anhand eines Datensatzes aus dem Produktivsystem eines österreichischen Energieanbieters die Eignung im SCADA Bereich gezeigt.As Information and Communication Technology (ICT) networks and their complexity evolved, so did the goals and the technical processes of attacks. Recent security incidents show that current security mechanisms are often not sufficient to prohibit targeted attacks. If an attack on a system is successful timely detection is critical to mitigate its impact. With the increasing use of common Internet protocols in connection with Supervisory Control and Data Acquisition (SCADA) systems, industrial networks are exposed to the same threats as corporate networks. This work proposes a novel anomaly detection approach, based on the timely correlation and analysis of log-files from various sources in a monitored network. The framework builds a system model that describes the normal behaviour of the different components in the monitored network. It does not rely on any information about syntax or semantics of the processed log-lines. Instead, the model is generated based on the processed information and constantly evolves while the system is monitoring the network. Using data from a controlled ICT network, this thesis shows that the generated model distinguishes meaningful subsets of log-files, and is able to model complex implications between different network components. An evaluation based on semi-synthetic log-data demonstrates the application of the approach in common ICT networks. Additionally, real-world data from a utility provider is used to demonstrate the system-s application in the domain of SCADA systems.11