Ansprechpartner:
René Rietz (rené.rietz@b-tu.de)

Intrusion Detection Systeme zur Erkennung von Angriffen auf neu entdeckte Sicherheitslücken nutzen meist die Open-Source-Lösung Snort. Snort verwendet eine sehr umfangreiche Signaturbasis, die bekannte Angriffe auf eine Vielzahl von Betriebssystemen und Anwendungen umfasst. Im praktischen Einsatz führen diese Signaturen häufig zu Fehlalarmen, da auch potenzielle Angriffe erkannt werden, die für die zu schützende Domäne nicht relevant sind. Zur Begrenzung dieses Problems sollen die Alarme hinsichtlich des betroffenen Betriebssystems und der Anwendung klassifiziert werden. Für die zu schützende Infrastruktur nicht relevante Meldungen sollen verworfen werden.

Im Rahmen einer Diplom- bzw. Masterarbeit soll ein Konzept ausgearbeitet werden, das auf der Basis von LCS und Entropieanalysen bekannte und unbekannte Kommunikationsprotokolle sowie darauf aufbauende Anwendungen und Betriebssysteme identifizieren kann. Als prototypische Implementierung des Verfahrens wird die Erweiterung von Snort um ein Entropiemodul und ein Generator für entsprechende Signaturen angestrebt.

Die Arbeit wird von einem Mitarbeiter des Lehrstuhls betreut, erfolgt dabei jedoch anteilig in den Räumlichkeiten der Firma. Eine Aufwandsentschädigung für anfallende Miet- und Versorgungskosten am Firmenstandort ist von der Firma zugesichert.