Event Correlation

Intrusion Detection Systeme (IDS) sind zu einem unverzichtbaren Element in der Netzwerksicherheit geworden. Sie erkennen Angriffe zum Beispiel anhand bekannter Muster des Netzwerkverkehrs – so genannter Signaturen. Signaturen beschränken sich auf bekannte Angriffsmuster. Von Interesse sind jedoch auch Ansätze, wo Anomalien mit Methoden der Künstlichen Intelligenz automatisch erkannt werden und damit auf Angriffe zurückgeschlossen werden kann.

Ein Ansatz zu automatischer Anomalie-Erkennung ist die so genannte Ereignis-Korrelation (event correlation). A-SIT hat im Rahmen der Technologiebeobachtung Ereignis-Korrelation untersucht. Es wurde ein Framework entwickelt, um Ereignisse mit unüberwachten Lernalgorithmen (unsupervised learning) in Cluster gruppieren zu können.

Im Bericht „Ereignis-Korrelation“ werden diese Aktivität und ihre Resultate beschrieben. Zur Veranschaulichung des Frameworks wurden die Algorithmen auf ein konkretes Beispiel angewandt: Um ein Beispiel zu geben, das allgemein verständlicher als die Klassifikation von Netzwerkereignissen durch ein IDS ist, wurde als Analogon die Klassifikation von Automobilen nach Parametern wie Leistung, Gewicht oder Verbrauch gewählt.

Die Ergebnisse dieses anschaulichen Beispiels werden auch als csv-Dateien beigelegt.