Zustandsvisualisierung einer Anomalie-basierten Angriffserkennung

  • Typ:Studienarbeit
  • Betreuung:Thomas Gamer, Denise Dudek
  • Bearbeitung:Armin Eitzen

  • Beschreibung

    Die Nutzung von Netzwerken und des Internets erfreut sich in der heutigen Zeit auch bei Unternehmen steigender Beliebtheit. Dadurch wird das Internet allerdings auch mehr und mehr zu einer kritischen Infrastruktur, deren Funktion und Zuverlässigkeit geschützt werden müssen. Aufgrund steigender Bedrohungen gewinnt daher das Thema Sicherheit in diesem Bereich immer mehr an Bedeutung. Vor allem DDoS-Angriffe, die auf einen zeitlich begrenzten Ausfall von Diensten zielen, und immer häufiger auftretende Angriffe durch Würmer und Viren führen zu hohen Kosten.
    Daher wurde ein System zur Angriffserkennung in Hochgeschwindigkeitsnetzen entwickelt, welches Anomalie-basiert arbeitet und im Gegensatz zu Signatur-basierten Ansätzen in der Lage ist, auch neue Angriffs-Varianten zu erkennen. Des Weiteren wurde bei der Konzeption des Systems auf einen möglichst geringen Ressourcenverbrauch geachtet, um einen Einsatz im Inneren des Netzes zu ermöglichen.
    Ein Framework des Systems zur Angriffserkennung wird zur Zeit im Rahmen einer Diplomarbeit entworfen und implementiert.

    Aufgabe

    Im Rahmen der Studienarbeit soll eine Management-Oberfläche implementiert werden, die aktuelle Daten der Angriffserkennung visualisieren und den aktuellen Status der Angriffserkennung übersichtlich anzeigen kann. Solange kein Angriff erkannt wird, sollten beispielsweise die aktuell beobachteten Paketzahlen sowie der zur Angriffserkennung benutzte Schwellenwert eines beobachteten Aggregates visualisiert werden. Wurde ein Hinweis auf einen Angriff erkannt, sollten die aktuell geladenen Stufen der überwachten Detektionsinstanz sowie deren Ergebnisse ausgegeben werden.
    Die Synchronisation zwischen dem System zur Angriffserkennung und der Management-Oberfläche soll derart konzipiert werden, dass zukünftige Erweiterungen - beispielsweise zur Anzeige der Kommunikation mit anderen Detektionsinstanzen - einfach möglich sind. Zusätzlich sollte die entwickelte Oberfläche die Möglichkeit bieten, konfigurierbare Parameter der Angriffserkennung anzuzeigen und bei Bedarf zu verändern.
    Abschließend soll die entwickelte Management-Oberfläche in das aktuell entstehende Framework des Systems zur Angriffserkennung integriert und evaluiert werden.

    Arbeitsumgebung

    Im Bereich des FlexiNet-Projektes steht ein Testbett zur Verfügung.

    Voraussetzungen

    Grundkenntnisse in C und Java sollten vorhanden sein.