Forensische Netzwerkanalyse mittels Complex Event Processing (ForCEPs)
Project Details
Project start: | 09/2017 |
Project end: | 01/2022 |
Total project budget: | 441.041,70 € |
Funding Opportunities
Förderlinie IngenieurNachwuchs (BMBF-Programm "Forschung an Fachhochschulen")
Principal Investigator(s)
Research areas
Abstract
Trotz des Einsatzes aktuellster Techniken zur Erkennung und Verhinderung von Angriffen ist eine vollständige Absicherung der IT-Infrastruktur in Unternehmen und anderen Einrichtungen unmöglich. Insbesondere zielgerichtete Attacken, beispielsweise durch ausländische Geheimdienste oder Wirtschaftsspionage, nutzen oft Wissen über spezifisches Nutzerverhalten aus. Dadurch werden die bekannten Verfahren zur Erkennung und Verhinderung von Angriffen ausgehebelt. Die so in das Computernetzwerk eingeschleuste Schadsoftware verhält sich oft unauffällig, um sich unbemerkt in der IT-Infrastruktur ausbreiten zu können. Wenn der Angriff bemerkt wird, ist oft eine große und zunächst nur schwer eingrenzbare Zahl an IT-Systemen betroffen. Ein aktuelles Beispiel ist der Angriff auf die IT-Infrastruktur des Deutschen Bundestages. Im Gegensatz zur nachträglichen Untersuchung von Computern, bei denen der aktuelle Zustand zum Zeitpunkt der Entdeckung einer Schadsoftware eingefroren werden kann, um danach Spuren sicherzustellen, ist die Analyse von befallenen Netzwerken nur sehr eingeschränkt möglich. Die dafür benötigten Informationen sind aufgrund der sehr großen Datenmenge meistens entweder bereits gelöscht oder wurden nicht gespeichert. Vorhaben erforscht mit Hilfe des „Complex Event Processing (CEP)“ – einer Technologie zur Verarbeitung großer Datenmengen – Verfahren, die die nachträgliche Aufklärung von Angriffen auf Computernetzwerke ermöglichen. Dies wird durch die Entwicklung neuartiger Methoden geschehen, die hohe Datenmengen in Netzwerken analysieren und die wichtigen Informationen extrahieren sowie speichern können. Die damit verfügbaren Daten können einen wichtigen Beitrag für die Untersuchung von Angriffen und zur Aufklärung leisten. Ebenfalls wird ein Vorgehensmodell auf Basis des Leitfadens „IT-Forensik“ erstellt (herausgegeben durch das Bundesamt für Sicherheit in der Informationstechnik), das Unternehmen und anderen Einrichtungen hilft, strukturiert, effizient und effektiv Untersuchungen von Angriffen auf Netzwerke durchzuführen. Dieses Vorgehensmodell erweitert die einzelnen Untersuchungsstufen des Leitfadens mit den notwendigen Schritten, um die mit ForCEPs erstellten Ergebnisse einsetzen zu können.