Grabatin, M. (2012):Erkennung von Innentätern - Entwicklung eines Systems zur heuristischen Analyse von Logfiles am Beispiel eines HochschulrechenzentrumsDie Erkennung von Angriffen durch Innentäter und die Identifizierung kompromittierter Benutzerkennungen ist keine triviale Aufgabe. Das in dieser Arbeit weiterentwickelte Programm LoginIDS untersucht Logdateien von verschiedenen System-Diensten auf Anomalien im Benutzerverhalten mit dem Ziel, Innentäter oder kompromittierte Accounts zu erkennen. Als neues Quell-Format wurde das Logformat des Apache-Webservers zu den Formaten der SSH-Server-Logs und Citrix-Windows-Terminalserver-Logs hinzugefügt. Alle Logdateien werden durch LoginIDS mit einem heuristischen Verfahren auf Anomalien im Nutzerverhalten hin überprüft. Zu dieser Analyse wird eine Datenbank verwendet, in der die Logeinträge zu Statistiken zusammengefasst werden. Dabei wird auch das geltende Datenschutzrecht beachtet und geeignete Retentionsintervalle verwendet. Die gefundenen Auffälligkeiten werden als Alarme gemeldet. Diese können in Trigger-Skripten behandelt und in dem Logfile-Management-System Splunk angezeigt werden. Es wurde festgestellt, dass LoginIDS als eine Komponente in einem Sicherheitssystem eingesetzt werden kann, um die manuell näher zu untersuchenden Log-Einträge deutlich zu reduzieren. LoginIDS ist unter der GPLv3 veröffentlicht.
|