TY - THES U1 - Master Thesis A1 - Bilgin, Oktay T1 - Zentralisierte Aggregation von heterogenen Logdaten aus einem Industrieumfeld für anomalie-basierte Intrusion Detection Systeme N2 - Die Digitalisierung von Unternehmen und deren Produktionsanlagen bringen neue Bedrohungsformen mit sich, die zielorientierter ausgerichtet sind und mehrere Computersysteme gleichzeitig betreffen. Klassische Schutzmechanismen wie Firewalls, Anti-Viren-Systeme und IDS sind zumeist signatur- oder muster-basiert und können diese komplexen Bedrohungsformen nicht effizient erkennen. Die verwendeten Signaturen und Muster können durch Angreifer einfach umgangen werden. Darüber hinaus sind gezielte und komplexe Angriffe nur durch die Verknüpfung von Informationen mehrerer Computersysteme identifizierbar. In den letzten Jahren wurden daher verstärkt anomalie-basierte IDS entwickelt und eingesetzt, die anhand selbstlernender Algorithmen das normale Verhalten von mehreren miteinander vernetzten Computersystemen erlernen und Abweichungen zum normalen Verhalten identifizieren. Hierzu verwenden die Algorithmen Log- und Monitoringdaten der Anwendungsschicht von verschiedenen Computersystemen und Anwendungen. Der Zugriff auf die Logdaten zur weiteren Analyse ist jedoch kompliziert, weil sie nicht an einer zentralen Stelle zusammenlaufen und es keine allgemein anerkannten Standards für die Erzeugung und Übertragung von Logdaten existieren. Infolgedessen wird in dieser Arbeit ein zentrales Log-Management-System in eine Produktionsumgebung eingeführt, die verschiedene IT-Komponenten und Komponenten einer realen Güterproduktion beinhaltet. Zudem werden Logdaten verschiedener heterogener Datenquellen auf diesem System zentral aggregiert. Neben der Einführung eines Standards für die Struktur und Übertragung der Logdaten von den einzelnen Datenquellen auf das Log-Management-System, werden Logdaten auf ihre Relevanz hinsichtlich der Erkennung von Anomalien und der Abbildung des Systemverhaltens analysiert. Diese Arbeit beinhaltet zudem fortgeschrittene Bedrohungsszenarien, die für die Evaluation der IDS verwendet werden können und stellt somit eine Grundlage für eine zukünftige Analyse der Logdaten durch IDS dar. N2 - The digitization of companies and their production facilities introduces new types of threats that are more sophisticated, tailored towards targets and affect multiple computer systems at the same time. Traditional protection mechanisms, such as firewalls, anti-virus software and intrusion detection systems apply a kind of black-list approach, where they consider only actions and behaviour that match well-known attack patterns and signatures of known malware or malicious behaviour. These traditional approaches can be easily bypassed with customized malware. Additionally, sophisticated and specifically targeted cyber-attacks can only be identified by aggregating information from several computer systems. In recent years, anomaly-based intrusion detection systems have therefore been increasingly developed and used, which try to establish a baseline of system behaviour of several interconnected computer systems using self-learning algorithms and try to identify deviations from this baseline. For this purpose, the algorithms use log and monitoring data from the application layer of various computer systems and applications. However, accessing this information for further analysis is often complicated. Usually, log data is not aggregated in one place and there exists no common standard for the appearance and transportation of log data. As a result, the thesis introduces a central log management system into a real manufacturing environment. Also, log data from various heterogeneous data sources is centrally aggregated on this system using a standard for the structure and transportation of log data. Furthermore, the available log data is analyzed for its relevance to detect anomalies and capture the computer system’s normal behaviour. The thesis also includes advanced threat scenarios that can be used to evaluate intrusion detection systems. This thesis forms the basis for future analysis of log data by intrusion detection systems. Y2 - 2020 U6 - https://doi.org/10.25924/opus-3744 DO - https://doi.org/10.25924/opus-3744 SP - 88 S1 - 88 ER -