Konzeptionierung und Evaluation eines Frameworks zur teilautomatisierten PCAP-Analyse

Dania Blum, August 2021
Bachelorstudiengang - Medieninformatik

Threat Hunting ist der Prozess eines erfahrenen Cybersecurity-Analysten, der proaktiv manuelle oder maschinenbasierte Techniken einsetzt, um Sicherheitsvorfälle oder Bedrohungen zu identifizieren. Diese Arbeit zielt darauf, eine Toolchain zu implementieren, die es einem ermöglicht, einen Netzwerkmitschnitt automatisiert auszuwerten, um Vorgänge und Prozesse während des Threat Hunting zu verkürzen. Es wird eine allgemeine Problematik der Netzwerkanalyse beschrieben, die in den meist genutzten Werkzeugen existieren. Dies dient dazu, die Notwendigkeit der Toolchain zu verdeutlichen.

In der Auswertung wird auf Protokolle und deren verschiedene Versionen eingegangen und eine automatische Anmerkung generiert, die aufzeigt, dass es sich um ein schwaches Protokoll handelt. Sofern eine bessere Alternative existiert, wird diese stattdessen vorgeschlagen. Zusätzlich werden für Protokolle, die standardweise häufig verwendet werden, Deep-Packet-Statistiken ausgegeben und ein Hinweis auf welche möglichen Anomalien zu achten ist, um Bedrohungen oder Kompromittierungen zu erkennen.

Die Protokolle, die die Toolchain analysiert, werden in den Grundlagen erläutert. Bevor dies geschieht, wird zunächst der Begriff IT-Sicherheit definiert und die Schutzziele, die ein System verfolgen sollte. Des Weiteren werden verschiedene Angriffskonzepte aufgegriffen, die durch die Schwachstellen der Protokolle ausgenutzt werden können oder innerhalb der Statistiken erkennbar sind.