Taming the logs - Vocabularies for semantic security analysis (Semantics 2018)
A report from Semantics 2018 (22.11.2018)
Förderjahr 2017 / Science Call #1 / ProjektID: / Projekt: SEPSES

Von 10 bis 13 September 2018 fand die SEMANTICS Konferenz in Wien statt. Es handelt sich um eine europäische Konferenz mit Fokus auf semantische Technologien und künstlicher Intelligenz, bei der sich Forscher und Industrieexperten zu aktuellen Themen austauschen.

Unser Artikel Taming the logs - Vocabularies for semantic security analysis wurde in dem Research & Innovation Track akzeptiert und auf der Konferenz dem Fachpublikum vorgestellt.

Die Arbeit fasst zum einen das gesamte netidee Science Projektvorhaben zusammen und präsentiert die ersten Projektergebnisse. Die folgende Abbildung zeigt die Gesamtarchitektur der angestrebten Log-Analyseplattform.

Log Extraction Architecture

Diese Plattform soll durch den Einsatz semantischer Technologien Sicherheitsanalysten bei der Überwachung und dem Auffinden von Sicherheitsproblemen über Logdateien unterstützen. Die Analyse von massenhaft heterogenen und teilweise unstrukturierten Logdaten ist hierbei eine wesentliche Herausforderung. Im Zuge dieser Arbeit haben wir uns bereits mit der Anbindung von potentiellen Quellen, sowie der Extraktion der relevanten Daten und der Umwandlung in semantische Formate beschäftigt. Insbesondere gehen wir auf einheitliche Log-Vokabulare ein und stellen einen Vorschlag für eine erweiterbare Ontologie vor.

Die Daten werden auch bereits auf vorhandenes Hintergrundwissen gemappt, um den Analysten diese Arbeit abzunehmen. Beispielsweise kann ein Benutzer mehrere Accounts besitzen, die unterschiedlich in einzelnen Programmen geloggt werden aber alle einem Benutzer zuzuordnen sind. Dies trifft beispielsweise ebenso auf IP Adresse und Hostnamen zu.

Um das Potential darzulegen, präsentieren wir in einem Prototypen, der mittels Logstash Ereignisse sammelt und anschließend in JSON LD unter Zuhilfenahme unserer Vokabulare transformiert. Die erzeugten Daten werden angereichert und in einem SPARQL Endpoint zusammengefasst und können anschließend zentral abgefragt werden.

Die nächsten Schritte werden sich mit der Verbindung einzelner Log-Ereignisse zu übergeordneten Ereignissen befassen.

Andreas Ekelhart

Male avatar
Andreas is a researcher at TU Wien and SBA Research. His main research interests include semantic applications and applied concepts of IT security with a focus on information security risk management.

Skills:

IT Security
,
Semantic applications
,
Programming
,
Simulation
,
Attacker modeling
,
Ontologies
CAPTCHA
Diese Frage dient der Überprüfung, ob Sie ein menschlicher Besucher sind und um automatisierten SPAM zu verhindern.