Dennis Kergl

Dennis Kergl, M. Sc.

ist seit April 2013

wissenschaftlicher Mitarbeiter am


Institut für Technische Informatik

Lehrstuhl für
Kommunikationssysteme und Netzsicherheit


Gebäude: 41/300
Raum: 0302
Telefon: +49 (89) 6004-2279
Telefon Bw: 90 (6217) 2279
E-Mail : Dennis.Kergl [at] unibw.de

Veröffentlichungen

Kergl, Dennis, Robert Roedler, and Gabi Dreo Rodosek. "Detection of zero day exploits using real-time social media streams". Computational Aspects of Social Networks, 7th International Conference on. Springer, 2015. [Google Books]

Roedler, Robert, Dennis Kergl, and Gabi Dreo Rodosek. "Profile Matching across Online Social Networks based on Geo-Tags". Computational Aspects of Social Networks, 7th International Conference on. Springer, 2015. [Google Books]

Kergl, Dennis. "Enhancing network security by software vulnerability detection using social media analysis Extended Abstract" Data Mining (ICDM), 2015 IEEE 15th international conference on. IEEE, 2015. [pdf]

Kergl, Dennis, Robert Roedler, and Sebastian Seeber. "On the endogenesis of Twitter's Spritzer and Gardenhose sample streams." Advances in Social Networks Analysis and Mining (ASONAM), 2014 IEEE/ACM International Conference on. IEEE, 2014. [pdf]

 

Konferenzbeiträge, Gastvorlesungen

Vortrag über Crowd-based Intrusion Detection – Synergien im Forschungszentrum CODE auf der IKT Sicherheitskonferenz 2015, 03.-04.11.2015, St. Pölten

Pitch zum Crowd-Based Intrusion Detection System, im Rahmen der Vorstellung des Forschungszentrum Cyber Defence beim Workshops Perspektiven Cybersicherheit, 17.09.2015, Bundesministerium der Verteidigung, Berlin

Meeting of the Medical Intelligence Expert Panel of the Committee of the Chiefs of Military Medical Services in NATO, 6.-10.10.2014, Québec: Demonstration und Feldtest EMILIA-App

FLAMINGO All WP Meeting, 08.-10.09.2014, Barcelona: PhD research status

FLAMINGO Research WP Meeting, 15.-16.07.2014, Zürich: Scapy-Demo, PhD research status

Einheit "Multicast-Routing" aus Vorlesung Rechnernetze und verteilte Systeme, 13.06.2014, Ludwig-Maximilians-Universität München

 

Betreute Arbeiten

(aktuell zu vergebende Themen siehe unten)

(aktuell in Arbeit), "Applying machine learning algorithms to data streams", Seminararbeit, (aktuell in Arbeit)

(aktuell in Arbeit), "Praktische Evaluation clientseitiger Angriffe auf das OAuth 2.0 Framework", Master-Projekt, (aktuell in Arbeit)

Marc Uhlig, "Portierung einer medizinischen Datenbankapplikation von iOS auf Android", Bachelorarbeit, 21.02.2014

Björn Trappe, "Abfragen an limitierte Schnittstellen sozialer Netze", Bachelorarbeit, 31.01.2014

Nico Hamann, "Teilautomatisierte Auswertung von unstrukturierten Daten zur Gewinnung von Informationen bzgl. der Cyber-Sicherheit", Seminararbeit, 29.07.2013

 

Betreute Veranstaltungen

WT 2016: Übung zur Vorlesung Rechnernetze, Master Informatik

FT 2015: Praktikum Netzsicherheit, Master Informatik
FT 2015: Praktikum Rechnernetze 2, Master Informatik

WT 2015: Übung zur Vorlesung Rechnernetze, Master Informatik

HT 2014: Praktikum Sicherheit in der Informationstechnik, Bachelor Informatik
HT 2014: Praktikum Rechnernetze, Bachelor Informatik

FT 2014: Praktikum Netzsicherheit, Master Informatik
FT 2014: Praktikum Rechnernetze 2, Master Informatik
FT 2014: einzelne Termine aus der Vorlesung IT-Forensik, Master Informatik

WT 2014: Übung zur Vorlesung Rechnernetze, Master Informatik

HT 2013: Praktikum IT-Sicherheit, Bachelor Informatik
HT 2013: Praktikum Rechnernetze, Bachelor Informatik

FT 2013: Praktikum Netzsicherheit, Master Informatik
FT 2013: Praktikum Rechnernetze 2, Master Informatik
FT 2013: Seminar Cyber Defense, Master Informatik

Einteilung des Studienjahres in Trimester:

  • WT: 01.01. - 31.03.
  • FT: 01.04. - 30.09.
  • HT: 01.10. - 31.12.

 

Themen für studentische Arbeiten

Im Forschungsbereich Cyber Security bietet unser Lehrstuhl eine Vielzahl an spannenden Kooperationen mit Industrie, Behörden und auch innerhalb der Bundeswehr. Im Rahmen dieser Kooperationen ist es immer möglich interessante Studien-, Abschluss- und Projektarbeiten zu schreiben oder uns als studentische Hilfskraft zu unterstützen. Eigene Ideen oder Vorhaben können ebenfalls gerne mit uns abgestimmt werden. Bei Interesse wenden Sie sich an uns.

 

Themenbezogene Sentimentanalyse in Twitter, zur Darstellung eines Stimmungsbarometers

Im Rahmen einer Kooperation mit einer Sicherheitsbehörde.

Die öffentliche Stimmungslage in Bezug auf genau definierte Themen oder Orte soll dargestellt werden. Dazu können Tweets über die öffentlich erreichbare API von Twitter gewonnen und mit Hilfe einer Sentimentanalyse bewertet werden. So wird ein Messwert für die allgemeine Stimmung zu dem jeweiligen Thema oder Ort gewonnen, der sich beispielsweise als Verhältnis zwischen positiven und negativen Äußerungen definieren lässt. Der zeitliche Verlauf dieses Messwertes ermöglicht die Darstellung von Trends und Erkennung von Anomalien. Auf diese Art können wichtige Indikatoren für sicherheitsrelevante Ereignisse gefunden werden.

 

IT-Sicherheitsaspekte bei Connected Cars

In Kooperation mit Audi AG, IT Fahrzeug Konzepte und ENISA

Moderne Fahrzeuge entwickeln sich immer mehr zu fahrenden Computern, zu fahrenden Netzwerken mit Schnittstellen sowohl zu den Insassen als auch zur Außenwelt. Persönliche Kommunikationsmittel verbinden sich spontan mit den Bordsystemen, Schnittstellen für Fahrzeug- und Softwarewartung stehen zur Verfügung. IT unterstützt beim Fahren und stellt Komfortfunktionen bereit. In einem hochdynamischen Innovationssektor wie der Automobilindustrie, steht die Auslieferung von neuen Funktionen oft im Vordergrund. Doch welche Sicherheitsfragen und -probleme wirft diese Entwicklung auf? In dieser Arbeit soll eine Übersicht über Sicherheitsaspekte von Netzen und Systemen geschaffen werden, welche bereits heute in Fahrzeugen im Einsatz sind oder kurz vor der Einführung stehen. Die Betrachtung soll so umfassend sein, dass Themen identifiziert werden können, die in einer anschließenden Seminarreihe zum Thema "IT-Sicherheit im vernetzten Auto" in einzelnen Seminararbeiten genauer und tiefgründiger untersucht werden sollen. Diese Arbeit stellt den Auftakt einer Zusammenarbeit des Forschungszentrums CODE mit AUDI dar und schafft eine Grundlage für Folgearbeiten.

 

Konzeption und Implementierung einer Anomalie Detektion zur Erweiterung eines Log-Analysators

In Kooperation mit der Deutschen Telekom AG, Cyber Defense & CERT

Der Cyber Threat Detector analysiert Firewall Logdaten und visualisiert die Kommunikationsbeziehungen über eine Weboberfläche. Die eingehenden Logdaten werden zusätzlich gegen vorliegende Indicators of Compromise (IoC) geprüft und bei eventuellen Treffern wird der Anwender alarmiert. Zur Erweiterung des Cyber Threat Detectors ist ein zusätzliches Modul "Anomalie-Erkennung" vorgesehen, da die typischen Indikatoren in Form einer IP-Adresse oft False-Positives erzeugen und man mit Hilfe der Anomalie-Erkennung schneller potentielle Angreifer erkennen kann. Das Ziel der Arbeit ist die Konzeption und Implementierung des Moduls "Anomalie-Erkennung" für den Cyber Threat Detector.

 

Weiterentwicklung und Implementierung eines Frameworks zur Prüfung von Endpoint-Geräten hinsichtlich Kompromittierung

In Kooperation mit der Deutschen Telekom AG, Cyber Defense & CERT

Standard Sicherheitsanwendungen wie Antivirensoftware hinken bei der Erkennung von neuen Gefahren und zielgerichteten Angriffen gegen IT-Infrastrukturen hinterher. Des Weiteren bieten diese nur eingeschränkte Möglichkeiten Indicators of Compromise (IoC) auf Endpoints zu prüfen bzw. entsprechende Artefakte für eine nachgelagerte Detailanalysen einzusammeln. Um diesem Problem entgegenzuwirken, werden momentan fallspezifisch entsprechende Skripte entwickelt, welche auf die Endpoints ausgerollt werden um dort die entsprechenden Prüfungen durchzuführen. Ziel ist es ein modulares Framework zu entwickeln, welches ohne Installation von Software auf den Endpoints ausgeführt werden kann. Dieses Framework soll sicherstellen, dass entwickelte Module wiederverwendet und zusätzliche Module flexibel integriert werden können. Beispiele für Module sind Hashwertprüfung, Einsammlung von Dateien / ADS / Artefakten,  Prüfung von Prozesslisten / Netzwerkverbindungen / Mutexes, Prüfung von IoC‘s per Yara / OpenIoC / oder ähnlichem. Das Ziel der Arbeit ist die Weiterentwicklung und Implementierung des Framework als auch die fachliche Entwicklung von Prüfungsmodulen.

 

Konzeption und Implementierung von Analysemethodiken auf Basis der Ergebnisse von statischen/dynamischen Large-Scale Malware Analysen

In Kooperation mit der Deutschen Telekom AG, Cyber Defense & CERT

Zur Erweiterung der Malware Analyse Fähigkeiten und der Verbesserung bzgl. der Identifizierung von Malware Charakteristika ist es notwendig, Malware in großem Stil zu analysieren und zu clustern. Aus diesem Grund wurden verschiedenste Möglichkeiten zur großflächigen Analyse von Binaries evaluiert. Das Framework BinaryPig, basierend auf Apache Pig und Apache Hadoop (siehe https://blog.cloudera.com/blog/2013/11/binarypig-scalable-static-binary-analysis-over-hadoop/) wurde eigens für diesen Zweck geschaffen und wird daher zur Zeit als Proof of Concept evaluiert und ggf. weiterentwickelt.
Auf Basis von "BinaryPig" werden bei der Deutschen Telekom AG aktuell rund 20 Millionen Malware Binaries statisch analysiert. Die derzeitig implementierten statischen Analysemethoden beschränken sich auf  YARA, ClamAV, Strings und Hashing (PE Hash, MD5, SHA1, SHA256, SHA512). Geplant ist zusätzlich die Anreicherung statischer Analyseergebnisse durch Laufzeitinformationen. Sämtliche Analyseergebnisse werden derzeit in Elastic Search abgelegt und indiziert. Das Ziel der Arbeit ist die Konzeption und Implementierung von Analysemethodiken, die es einen Analysten ermöglichen, möglichst einfach und effizient auf den in Elastic Search hinterlegten Datenmengen zu arbeiten.

 

Design und Implementation eines Data-Quality-Cockpits für ein Wissensmanagement- und Entscheidungsunterstützungssystem

Im Rahmen eines Projektes mit dem Kommando Sanitätsdienst Bw (explizit auch als HiWi-Tätigkeit).

In das vorhandene RAAPIT-System, einem Prototypen für die zentrale Verwaltung von Erkenntnissen über die medizinische Lage in Einsatzländern der Bundeswehr, sollen Funktionen zur Steigerung und Sicherstellung der Datenqualität implementiert werden. Dazu sind Faktoren für die Datenqualität zu ermitteln, Prozesse zur Qualitätssicherung zu definieren und durch eine ansprechende Implementierung im Webinterface des Systems (HTML, PHP, andere Sprachen möglich) die Durchführung der resultierenden Handlungen unterstützt werden. Denkbar für eine ansprechende Oberfläche des Webinterfaces sind zum Beispiel Echtzeitfähigkeit und ein Design-Framework, in das vorhandene Seiten des Webinterfaces ebenfalls überführt werden können. Hierzu kann es dienlich sein, möglichst viele verschiedenartige Bedienelemente als Proof-Of-Concept umzusetzen und deren Verwendbarkeit zu beschreiben.

 

Robuste Datenübermittlung in unzuverlässigen Netzen

Im Rahmen eines Projektes mit dem Kommando Sanitätsdienst Bw (explizit auch als HiWi-Tätigkeit).

Zur Vorbereitung und Durchführung von Auslandseinsätzen sammelt das KdoSanDst Bw im Rahmen der „Medical Intelligence“ Informationen über die medizinische Lage im Einsatzgebiet. Die zu erfassenden Informationen reichen von vorhandenen Krankenhäusern und deren Ausrüstung über lokale Ansprechpartner bis zu Erkenntnissen über endemische Krankheiten und Ausbrüchen von Infektionskrankheiten. Der Informationsbeschaffungs- und Verarbeitungsprozess ist grundsätzlich in der Lage die Verwendung von biologischen Kampfstoffen zu erkennen. Für die Datenerfassung verwendet das KdoSanDst eine am Lehrstuhl entwickelte Tablet- und Smartphone-App. Zur Verbesserung der Datenübertragung soll ein Übermittlungsverfahren gefunden und implementiert werden, welches eine zuverlässige Kommunikation über instabile Internetverbindungen ermöglicht. Die Lösung soll konzeptionell am ISO/OSI-Schichtenmodell erarbeitet und in den vorhandenen Prototyp implementiert werden (iOS, Objective-C).

 

Innovative Eingabemethoden für Kurz-Fragebögen und standardisierte Meldungen (STANAGs) auf Mobilgeräten

Im Rahmen eines Projektes mit dem Kommando Sanitätsdienst Bw (explizit auch als HiWi-Tätigkeit).

Zur Erfassung von Vor-Ort-Lagen, zum Beispiel dem Zustand von Häfen, Krankenhäusern oder anderen Einrichtungen, verwendet das KdoSanDst Bw standardisierte Meldeformate (STANAG), u. a. damit die Meldungen mit NATO und anderen Verbündeten einfacher ausgetauscht werden können. Die Unterstützung dieser Lageerfassung kann durch mobile Anwendungen auf Tablets und Smartphones unterstützt werden. Zur Erfassung von medizinisch relevanten Lageinformationen wurde am Lehrstuhl bereits die App „EMILIA“ entwickelt, die nun entsprechend erweitert werden soll. Die Umsetzung in einer stand-alone-App ist ebenfalls möglich. Fact-Finding-Missions und die dort herrschenden speziellen Anforderungen an eine möglichst einfache und schnelle Bedienung stehen im Vordergrund der Entwicklung und es sollen effektive Verfahren vorgeschlagen und prototypisch umgesetzt werden.

 

Echtzeit-Log-Auswertung auf Basis von SAP HANA

In Kooperation mit SAP SE, SAP ETD.

Zur Darstellung von Systemzuständen und Firewall-Ereignissen sollen die Logdateien der vorhandenen Praktikumsumgebung (Linux-Systeme zur Durchführung u. a. der Praktika „IT-Sicherheit“, „Netzsicherheit“ und „Rechnernetze“) auf einem zentralen Logserver gesammelt und durch eine Softwarelösung von SAP (Enterprise Threat Detection) auf der Basis des In-Memory-Datenbanksystems SAP HANA in Echtzeit analysiert werden. Je nach Typ und damit Umfang der Arbeit kann ein Vergleich zu Open-Source-Alternativen durchgeführt und beide Lösungen miteinander verglichen werden.

 

Vulnerability Map

Das Internet-Census-Projekt hat 2012 eine Landkarte über den gesamten IPv4-Adressraum geschaffen. Durch Service-Scans lassen sich Namen und Versionen von Diensten ermitteln, die in den gescannten IP-Adressbereichen angeboten werden. Das vFeed-Projekt stellt eine umfassende Datenbank über bekannte Schwachstellen solcher Dienste zur Verfügung. Ziel der Arbeit ist die visuelle Darstellung über die Verteilung und Häufung von bekannten Schwachstellen in bestimmten IP-Adressbereichen, um ein Netzsicherheits-Lagebild zu erhalten.

 

CDN-Mapping

Vorhandene Methoden, um die Architektur von Content Delivery Networks (CDN) in Bezug zu bestimmten Diensten zu erfassen sollen erörtert und prototypisch implementiert werden. Durch Service-Scans soll ermittelt werden, welche Arten und Versionen verschiedener Dienste im CDN bereitgestellt sind. Im Idealfall wird die Struktur von CDN in Bezug auf geographische sowie virtuelle Verteilung und weitere bestimmende Parameter über die Dienste visualisiert und eine Beobachtung über die Zeit ermöglicht. Auf diese Weise können Update- und Änderungsstrategien von CDN beobachtet und Implikationen für die Sicherheit des CDNs abgeleitet werden.

 

Links

Profil im Simpleweb-Wiki des FLAMINGO-Projektes

Publikationsliste auf Google Scholar