Title (eng): Correlating System Events

Author: Liebl, M. (Martin)

Description (deu): St. Pölten, Studiengang Information Security, Masterarbeit, 2016

Description (deu): In den letzten Jahren haben Themen wie Cyber Security, Cybercrime, Advanced Persistent Threats und Advanced Targeted Attacks immer mehr an Relevanz im IT & Information Security Umfeld gewonnen. Grund dafür ist, dass Angriffe auf Organisationen und Computersysteme immer ausgefeilter und komplexer werden. Experten aus den oben genannten Bereichen meinen, dass es heute nur mehr eine Frage der Zeit ist, bis Sicherheitsmaßnahmen überwunden werden und in ein System ingedrungen wird. Bei dieser Prognose kann man annehmen, dass traditionelle Sicherheitssysteme zur Erkennung von Angriffen nicht mehr ausreichen werden. Es wird daher wichtig sein, den Analyseprozess im Falle eines erfolgreichen Angriffes zu unterstützen. Im Zuge dieser Arbeit wurde ecCrow entwickelt, ein Tool, das
den Analyseprozess bei sicherheitsrelevanten Vorfällen unterstützen soll. Dabei werden Ereignisse, die im Netzwerk stattfinden, korreliert und in Graphen dargestellt. Der Prototyp bietet zwei Perspektiven. In der ersten werden direkte Netzwerkverbindungen von Prozessen zwischen internen Hostsystemen untersucht. Mit dieser Ansicht soll es möglich sein, verdächtige Prozesse zu finden, die beispielsweise Port Scans oder Exploit Versuche durchführen.
Mit der zweiten Sichtweise werden externe Zielsysteme aufgezeigt, die von mehreren Hostsystemen kontaktiert werden. Damit sollen Zugriffe auf verdächtige Systeme und bösartiger Command & Control Datenverkehr sichtbar gemacht werden.

Description (eng): Over the last years topics like cyber security, cybercrime, Advanced Persistent Threats, and Advanced Targeted Attacks became trending in the IT & information security domain. This is because today attacks on organizations and computer systems are becoming more and more sophisticated. Security experts argue that it is only a matter of time, until an organization will be breached. When considering this outlook it becomes crucial to not only focus on the initial detection of a security breach, but to support the investigation process of incidents as well. In this thesis we describe ecCrow, a tool to assist the incident analysis process by visualizing network event correlations with graphs. There are two points of view for consideration. The first one is about examining direct network connections. This prototype makes it possible to visualize network connections established by processes between hosts within a network. This can aid in finding suspicious processes which conduct port scans or exploit attempts.
The second view regards indirect network connections where external destinations that are targeted by multiple hosts are being identified. This can help finding hosts which take part in malicious command & control traffic or contact suspicious systems.

Object languages: English

Date: 2016

Rights: © All rights reserved

Classification: Cyberattacke; Sicherheitsmaßnahme

Permanent Identifier