Integration und Evaluation des Network Intrusion Detection Systems Maltrail in einem Security Operations Center, Georg Löffler

Georg Löffler

Kurzfassung

Softwaretechnische Werkzeuge wie Network Intrusion Detection System (NIDS) und Security Information and Event Management (SIEM)-Werkzeuge bieten eine Möglichkeit sich vor Cyberangriffen zu schützen. Durch gewonnene Erkenntnisse in Form von Log-Daten aus IT-Infrastrukturen können durch ein Security Operations Center (SOC) potenzielle Angriffe bei der Live-Response Analyse ausfindig gemacht werden. In dieser Hinsicht können Softwarebackdoors einen Zugangspunkt auf verdächtige Systeme ermöglichen sowie netzwerkbasierte Cyberangriffe durchgeführt werden. Diese Arbeit befasst sich mit der Erweiterung eines SIEM-Werkzeugs mit Hilfe des NIDS Maltrail, das durch den auf Anwendungsebene basierten Sensor ermöglicht, solche Angriffe frühzeitig zu erkennen, um das Ausführen von Schadsoftware, bösartige netzwerkbasierte Aufklärungen zu verhindern sowie remote Verbindungen verfolgen zu können. Die Funktionsweise von Maltrail wird über gezielte Angriffe evaluiert.

Schlagwörter: Malicious Network Traffic, IDS, NIDS, Maltrail, SIEM, Open-Source, SOC

Abstract

Software tools such as NIDS and SIEM tools offer a way to protect against cyber-attacks. Through insights gained in the form of log data from IT infrastructures, a SOC can pinpoint potential attacks during live response analysis. In this regard, software backdoors can provide an access point onto suspicious systems, as well as network-based cyberattacks. This bachelor thesis addresses the enhancement of a SIEM tool using the NIDS Maltrail, which enables early detection of such attacks through the application-level based sensor to prevent malware execution, malicious network-based reconnaissance as well as to track remote connections. Maltrail’s functionality is evaluated via targeted attacks.

Keywords: malicious network traffic, IDS, NIDS, Maltrail, SIEM, Open-Source, SOC