Evaluation and enhancement of an anomaly-based attack detection with regard to heterogeneous detection systems

  • type:Studien-/Bachelor-Arbeit
  • advisor:Thomas Gamer, Christoph P. Mayer
  • person in charge:Sabine Brom
  • Beschreibung

    Das Internet stellt trotz zahlreicher Forschungsaktivitäten auch heute noch eine kritische Infrastruktur dar, deren Funktion und Zuverlässigkeit geschützt werden müssen. Vor allem DDoS-Angriffe, die auf einen zeitlich begrenzten Ausfall von Diensten zielen, und immer häufiger auftretende Angriffe durch Würmer und Viren führen bei im Internet tätigen Unternehmen zu hohen finanziellen Verlusten. Daher wurde am Institut für Telematik ein System zur Anomalie-basierten Angriffserkennung entwickelt. Bei der Konzeption des Systems wurde auf einen möglichst geringen Ressourcenverbrauch geachtet, um auch einen Einsatz im Inneren des Netzes zu ermöglichen. Das entworfene System wurde anschließend in das ebenfalls am Institut für Telematik entwickelte Rahmenwerk Distack integriert.

    Aufgabe

    In Distack wurde prototypisch bereits eine Anomalie-basierte Angriffserkennung integriert, die mit schrittweiser statischer Verfeinerung arbeitet. In einer parallelen Arbeit wurde ein Mechanismus zur dynamischen Ablaufsteuerung einer Anomalie-basierten Erkennung entwickelt. Beide Mechanismen sollen im Rahmen der Studienarbeit analysiert und evtl. zusammengeführt werden. Im zweiten Teil der Arbeit soll ein Überblick über aktuelle Anomalie-Erkennungsverfahren gegeben werden. Aus diesen sollen beispielhaft 2-3 Verfahren ausgewählt und in Distack integriert werden. Abschließend soll mit Hilfe des Netzwerksimulators OMNeT++ eine Anomalie-basierte Angriffserkennung mit verteilten heterogener Detektionsinstanzen evaluiert werden.

    Arbeitsumgebung

    Klimatisierter Poolraum, Simulationsrechner und Kaffeemaschine stehen zur Verfügung.

    Voraussetzungen

    Kenntnisse der Programmiersprache C++ und des Netzwerksimulators OMNeT++ sind vorteilhaft, werden aber nicht vorausgesetzt.