Datenkommunikationsnetze enthalten eine Vielzahl von Datenquellen für das Data Mining, z. B. den Netzverkehr, von Schwachstellenscannern aufgedeckte Schwachstellen oder von Sicherheitssensoren wie Intrusion Detection Systems, Intrusion Prevention Systems oder Firewalls gemeldete Ereignisse. Dadurch werden automatisch Daten in überwachten Netzwerken erzeugt. Durch die Anwendung von Zeitreihen-Data-Mining-Techniken sind wir in der Lage, diese Daten für eine kontextbezogene Ereignisanalyse zu nutzen. Im Gegensatz zu verwandten Arbeiten konzentriert sich unser Ansatz der kontextbezogenen Ereignisanalyse nicht auf die Modellierung eines Angreifers, sondern zielt darauf ab, automatisch laufende Arbeitsabläufe zu erlernen und negative Auswirkungen von Bedrohungen zu bekämpfen. Negative Auswirkungen von Bedrohungen können Netzwerkabhängigkeiten nach sich ziehen, die zu einer Kette von Ereignissen führen, die für Netzwerkbetreiber schwer vorhersehbar sind.
Die Analyse des Netzwerkverkehrs ermöglicht es uns, ein tieferes Verständnis für den Kontext eines Ereignisses in einem überwachten Netzwerk zu entwickeln. Zu diesem Zweck schlagen wir vor, Netzwerkabhängigkeiten automatisch aus dem Netzwerkverkehr zu erkennen. Um Netzwerkabhängigkeiten zu erkennen, führen wir eine Methodik ein, die auf der normalisierten Form der Kreuzkorrelation basiert. Die Kreuzkorrelation ist eine gut etablierte Methode zur Erkennung ähnlicher Signale in Anwendungen zum Abgleich von Merkmalen. Wir nennen den Ansatz zur Erkennung von Netzwerkabhängigkeiten Mission Oriented Network Analysis (MONA). Die von MONA identifizierten Netzwerkabhängigkeiten bilden die Grundlage für die Ermittlung von Arbeitsabläufen auf der Grundlage des Netzwerkverkehrs. Workflow-Modelle beschreiben die zugrundeliegenden Abhängigkeiten von Netzwerkgeräten und Netzwerkdiensten in Datenkommunikationsnetzwerken. So wird die Verknüpfung Ereignisse mit den in einem Netz beobachteten Abläufen zu verknüpfen, ermöglicht es uns, den Kontext eines Ereignisses zu verstehen. Der in dieser Arbeit vorgestellte Ansatz zur kontextbezogenen Ereignisanalyse wird systematisch anhand von realen Fallstudien in einem Energieverteilungsnetz evaluiert. Darüber hinaus vergleichen wir die Leistung und Empfindlichkeit von MONA mit anderen modernen Methoden zur Ermittlung von Netzwerkabhängigkeiten. Dieser systematische Vergleich zeigt, dass MONA den Stand der Technik übertrifft.