[Zurück]

M. Wurzenberger:
"Synthetic Log Data Modeling for the Evaluation of Intrusion Detection Systems";
Betreuer/in(nen): W. Scherrer; Institut für Stochastik und Wirtschaftsmathematik, 2015; Abschlussprüfung: 11/2015.

Heutzutage sind Informations- und Kommunikationstechnik (IKT) Netzwerke ein fester Bestandteil unseres täglichen Lebens. Daher sind Intrusion Detection Systeme (IDS) ein essentieller Baustein in einer funktionierenden Sicherheitsinfrastruktur von heutigen Computernetzwerken. IDSs zielen darauf ab zeitnah Cyber-Attacken und unautorisierte Systemzugriffe zu erkennen. Während es dafür auf dem Markt viele Produkte gibt, die auf verschiedenen Ansätzen basieren, ist die Identifikation der effizientesten Lösung für eine spezifische Infrastruktur und die optimale Konfiguration dieser, immer noch ein ungelöstes Problem. Auf Grund des Fehlens von passenden Testumgebungen werden neue Ansätze zur Erstellung von Testdaten benötigt. Das Ziel dieser Arbeit ist es ein Modell zu definieren, das auf Log-Zeilen Clustering und Simulation von Markov Ketten basiert, um realistische synthetische Log Daten zu erstellen. Das präsentierte Modell benötigt nur ein kleines Set realer Netzwerkdaten als Input und erstellt ausgehend von dessen Eigenschaften eine vom Anwender vorgegebene lange Folge von hochrealistischen synthetischen Log Daten. Um die Anwendbarkeit des in dieser Arbeit entwickelten Konzeptes zu zeigen, schließen wir die Arbeit mit einem illustrativen Beispiel zur Evaluierung und Test eines existierenden IDS unter Verwendung von generierten synthetischen Log Daten.

Today Information and Communications Technology (ICT) networks are a dominating component of our daily life. Hence Intrusion Detection Systems (IDSs) are an essential part of a working security-infrastructure of today's computer-networks. IDSs aim to timly detect cyber attacks and unauthorized system access. While there are many products on the market, based on different approaches, the identification of the most efficient solution for a specific infrastructure, and the optimal configuration is still an unsolved problem. Due to the lack of suitable test environments novel approaches for the generation of test data are required. The goal of this thesis is to define a model, based on log line clustering and Markov chain simulation, for generating realistic synthetic log data. The presented model requires only a small set of real network data as input and based on its characteristics generates a customer specified long sequence of highly realistic synthetic log data. To prove the applicability of the concept developed in this work, we conclude this thesis with an illustrative example of evaluation and test of an existing IDS by usage of generated synthetic log data.

intrusion detection systems / log files / simulation / markov chain