Threatdetector with Elastic

Willkommen

Herzlich willkommen auf unserer Projektseite. Auf dieser Homepage erhalten Sie Informationen rund um das Projekt ​Threatdetector with Elastic.

Kurzbeschreibung

Deutsch Logdaten sind das Herzstück für eine rasche Antwort in der Krisensituation eines IT-Angriffes, also was tun, wenn Clients plötzlich aufhören Daten zu senden, obwohl sie nicht ausgeschalten wurden? Die Erkennung dieses Szenarios ist was Threatdetector with Elastic umsetzen möchte. Um eine sichere Datenverarbeitung gewährleisten zu können, ist es essenziell die Integrität des kompletten Netzwerks sicherstellen zu können. Hierzu werden heutzutage, in Firmennetzwerken, die Logs aller Geräte in netzwerkinternen Datenbanken gesammelt und anschließend auf Unstimmigkeiten analysiert, aber was tun wenn Angreiferinnen oder Angreifer eben diese Übermittlung an die Datenbank stoppt? In diesem Projekt wird sich damit beschäftigt, wie man eine Erkennung hierfür in einem auf Elasticsearch basierendes Threat-Detection-System umsetzt, denn die Erkennung dieses Szenarios stellt sich als schwerer heraus als es anfangs wirken mag, da eine Vielzahl von False-Positive Szenarien die Erkennung erschweren: Der Client wird ausgeschalten, der Client wird zugeklappt, der Client verliert die Netzwerkverbindung, all das muss berücksichtigt werden.

English Log data is crucial for a swift response in case of an cyber attack. So, what to do when clients suddenly stop sending data even though they haven't been turned off? Detecting this scenario is what Threatdetector with Elastic wants to acomplish. To make sure data is processed in a secure way, it is essential to verify the integrity of the companies entire network. For this companies usecase, tools are collecting usage data of all devices in the network and storing them in centralised network internal databases to analyze them for possible threats. So what if this stream of data just stops? Solving that problem for a Elastic-Search based network is the core goal of this project. Detecting this scenario proves more challenging than may be anticipated, because of the many false-positive-senarios that could happen: closing the lid of an laptop, shuting down an laptop or when the laptop loses network connection. These scenarios also have to be took into consideration.

Unser Projekt wird bearbeitet und erstellt an der HTL Mössingerstraße

Dieses Projekt wird gemeinsam mit einem Wirtschaftspartner durchgeführt:

Projektkomponenten


calculate Algorithmusbasierte Erkennung

Erkennung über DNS-Abfragen

Die Aufgabenstellung dieses Arbeitsteils ist es mehrere verschiedene Systematiken zur Erkennung von Windows-Clients mit deaktivierter Logübermittlung zu erstellen, diese zu vergleichen und das Finden einer Antwort auf die anfängliche Frage der Kelag ob und wie diese Clients erkannt werden können, durch die Erstellung einer Regel die diese Systematik verwendet. Dazu muss einerseits auf eine größere Menge an, in anderen Teilen, unwichtigen Logs eingegangen werden und es müssen Systeme und Mechaniken im Netzwerk gefunden und beschrieben werden, um Clients mit deaktivierter Logübermittlung zu erkennen. Anschließend muss eine Kibana-Regel erstellt werden, die diese Systematiken und Mechaniken zur Erkennung verwendet, um anschließend diese Regel zu optimieren und anderen Regeln, die durch gleichen Prozess entstanden sind, gegenüber zu stellen, damit eine optimale Erkennung ermöglicht werden kann. Ziel ist daher eine Analyse der Ausgangslage und eine Auseinandersetzung mit den Vor- und Nachteilen jedes Lösungsansatzes, um eine optimale Lösung entwerfen und anschließend empfehlen zu können. Außerdem sind die zu den Optimierungen nötigen Schritte und Vorschläge, welche nicht direkt durch uns durchzuführen sind, auch Teil dieser Analyse.

hub KI-Erkennung

Erkennung mit Hilfe von Künstlicher Inteligenz

Das Ziel dieses Projektes ist es, mithilfe von Elastic ML (Machine Learning) zu erkennen, wann ein Client im Netzwerk die Übermittlung der Logs deaktiviert. Die Wahl des richtigen ML-Systems ist von grundlegender Bedeutung für den Erfolg des Projekts. Sobald ein geeignetes ML-System ausgewählt ist, steht der Trainingsschritt bevor. Trainingsdaten sind historische Logevents. Ziel dieses Trainings ist, das ML-System zu optimieren, um Anomalien, verdächtige Muster und ungewöhnliches Verhalten zuverlässig zu erkennen. Dies erfordert die Feinabstimmung von Algorithmen, die Anpassung von Parametern und kontinuierliches Lernen, um eine hohe Präzision bei der Angriffserkennung sicherzustellen.

Unser Team

Phillipos Mazaris

KI-Erkennung, Datenübermittlung

Michael Schneider

Algorithmusbasierte Erkennung, Testsystem

Dipl.-Ing. Thomas Aichholzer, BSc., BEd.

Betreuer HTL Mössingerstraße

Dipl.-Ing. Gierlinger Frederic

Betreuer bei Kelag AG

Dr. Dipl.-Ing. Kogler Marian

Betreuer bei Kelag AG