@phdthesis{Najafi2023, author = {Najafi, Pejman}, title = {Leveraging data science \& engineering for advanced security operations}, doi = {10.25932/publishup-61225}, url = {http://nbn-resolving.de/urn:nbn:de:kobv:517-opus4-612257}, school = {Universit{\"a}t Potsdam}, pages = {xix, 180}, year = {2023}, abstract = {The Security Operations Center (SOC) represents a specialized unit responsible for managing security within enterprises. To aid in its responsibilities, the SOC relies heavily on a Security Information and Event Management (SIEM) system that functions as a centralized repository for all security-related data, providing a comprehensive view of the organization's security posture. Due to the ability to offer such insights, SIEMS are considered indispensable tools facilitating SOC functions, such as monitoring, threat detection, and incident response. Despite advancements in big data architectures and analytics, most SIEMs fall short of keeping pace. Architecturally, they function merely as log search engines, lacking the support for distributed large-scale analytics. Analytically, they rely on rule-based correlation, neglecting the adoption of more advanced data science and machine learning techniques. This thesis first proposes a blueprint for next-generation SIEM systems that emphasize distributed processing and multi-layered storage to enable data mining at a big data scale. Next, with the architectural support, it introduces two data mining approaches for advanced threat detection as part of SOC operations. First, a novel graph mining technique that formulates threat detection within the SIEM system as a large-scale graph mining and inference problem, built on the principles of guilt-by-association and exempt-by-reputation. The approach entails the construction of a Heterogeneous Information Network (HIN) that models shared characteristics and associations among entities extracted from SIEM-related events/logs. Thereon, a novel graph-based inference algorithm is used to infer a node's maliciousness score based on its associations with other entities in the HIN. Second, an innovative outlier detection technique that imitates a SOC analyst's reasoning process to find anomalies/outliers. The approach emphasizes explainability and simplicity, achieved by combining the output of simple context-aware univariate submodels that calculate an outlier score for each entry. Both approaches were tested in academic and real-world settings, demonstrating high performance when compared to other algorithms as well as practicality alongside a large enterprise's SIEM system. This thesis establishes the foundation for next-generation SIEM systems that can enhance today's SOCs and facilitate the transition from human-centric to data-driven security operations.}, language = {en} } @phdthesis{Brill2022, author = {Brill, Fabio Alexander}, title = {Applications of machine learning and open geospatial data in flood risk modelling}, doi = {10.25932/publishup-55594}, url = {http://nbn-resolving.de/urn:nbn:de:kobv:517-opus4-555943}, school = {Universit{\"a}t Potsdam}, pages = {xix, 124}, year = {2022}, abstract = {Der technologische Fortschritt erlaubt es, zunehmend komplexe Vorhersagemodelle auf Basis immer gr{\"o}ßerer Datens{\"a}tze zu produzieren. F{\"u}r das Risikomanagement von Naturgefahren sind eine Vielzahl von Modellen als Entscheidungsgrundlage notwendig, z.B. in der Auswertung von Beobachtungsdaten, f{\"u}r die Vorhersage von Gefahrenszenarien, oder zur statistischen Absch{\"a}tzung der zu erwartenden Sch{\"a}den. Es stellt sich also die Frage, inwiefern moderne Modellierungsans{\"a}tze wie das maschinelle Lernen oder Data-Mining in diesem Themenbereich sinnvoll eingesetzt werden k{\"o}nnen. Zus{\"a}tzlich ist im Hinblick auf die Datenverf{\"u}gbarkeit und -zug{\"a}nglichkeit ein Trend zur {\"O}ffnung (open data) zu beobachten. Thema dieser Arbeit ist daher, die M{\"o}glichkeiten und Grenzen des maschinellen Lernens und frei verf{\"u}gbarer Geodaten auf dem Gebiet der Hochwasserrisikomodellierung im weiteren Sinne zu untersuchen. Da dieses {\"u}bergeordnete Thema sehr breit ist, werden einzelne relevante Aspekte herausgearbeitet und detailliert betrachtet. Eine prominente Datenquelle im Bereich Hochwasser ist die satellitenbasierte Kartierung von {\"U}berflutungsfl{\"a}chen, die z.B. {\"u}ber den Copernicus Service der Europ{\"a}ischen Union frei zur Verf{\"u}gung gestellt werden. Große Hoffnungen werden in der wissenschaftlichen Literatur in diese Produkte gesetzt, sowohl f{\"u}r die akute Unterst{\"u}tzung der Einsatzkr{\"a}fte im Katastrophenfall, als auch in der Modellierung mittels hydrodynamischer Modelle oder zur Schadensabsch{\"a}tzung. Daher wurde ein Fokus in dieser Arbeit auf die Untersuchung dieser Flutmasken gelegt. Aus der Beobachtung, dass die Qualit{\"a}t dieser Produkte in bewaldeten und urbanen Gebieten unzureichend ist, wurde ein Verfahren zur nachtr{\"a}glichenVerbesserung mittels maschinellem Lernen entwickelt. Das Verfahren basiert auf einem Klassifikationsalgorithmus der nur Trainingsdaten von einer vorherzusagenden Klasse ben{\"o}tigt, im konkreten Fall also Daten von {\"U}berflutungsfl{\"a}chen, nicht jedoch von der negativen Klasse (trockene Gebiete). Die Anwendung f{\"u}r Hurricane Harvey in Houston zeigt großes Potenzial der Methode, abh{\"a}ngig von der Qualit{\"a}t der urspr{\"u}nglichen Flutmaske. Anschließend wird anhand einer prozessbasierten Modellkette untersucht, welchen Einfluss implementierte physikalische Prozessdetails auf das vorhergesagte statistische Risiko haben. Es wird anschaulich gezeigt, was eine Risikostudie basierend auf etablierten Modellen leisten kann. Solche Modellketten sind allerdings bereits f{\"u}r Flusshochwasser sehr komplex, und f{\"u}r zusammengesetzte oder kaskadierende Ereignisse mit Starkregen, Sturzfluten, und weiteren Prozessen, kaum vorhanden. Im vierten Kapitel dieser Arbeit wird daher getestet, ob maschinelles Lernen auf Basis von vollst{\"a}ndigen Schadensdaten einen direkteren Weg zur Schadensmodellierung erm{\"o}glicht, der die explizite Konzeption einer solchen Modellkette umgeht. Dazu wird ein staatlich erhobener Datensatz der gesch{\"a}digten Geb{\"a}ude w{\"a}hrend des schweren El Ni{\~n}o Ereignisses 2017 in Peru verwendet. In diesem Kontext werden auch die M{\"o}glichkeiten des Data-Mining zur Extraktion von Prozessverst{\"a}ndnis ausgelotet. Es kann gezeigt werden, dass diverse frei verf{\"u}gbare Geodaten n{\"u}tzliche Informationen f{\"u}r die Gefahren- und Schadensmodellierung von komplexen Flutereignissen liefern, z.B. satellitenbasierte Regenmessungen, topographische und hydrographische Information, kartierte Siedlungsfl{\"a}chen, sowie Indikatoren aus Spektraldaten. Zudem zeigen sich Erkenntnisse zu den Sch{\"a}digungsprozessen, die im Wesentlichen mit den vorherigen Erwartungen in Einklang stehen. Die maximale Regenintensit{\"a}t wirkt beispielsweise in St{\"a}dten und steilen Schluchten st{\"a}rker sch{\"a}digend, w{\"a}hrend die Niederschlagssumme in tiefliegenden Flussgebieten und bewaldeten Regionen als aussagekr{\"a}ftiger befunden wurde. L{\"a}ndliche Gebiete in Peru weisen in der pr{\"a}sentierten Studie eine h{\"o}here Vulnerabilit{\"a}t als die Stadtgebiete auf. Jedoch werden auch die grunds{\"a}tzlichen Grenzen der Methodik und die Abh{\"a}ngigkeit von spezifischen Datens{\"a}tzen and Algorithmen offenkundig. In der {\"u}bergreifenden Diskussion werden schließlich die verschiedenen Methoden - prozessbasierte Modellierung, pr{\"a}diktives maschinelles Lernen, und Data-Mining - mit Blick auf die Gesamtfragestellungen evaluiert. Im Bereich der Gefahrenbeobachtung scheint eine Fokussierung auf neue Algorithmen sinnvoll. Im Bereich der Gefahrenmodellierung, insbesondere f{\"u}r Flusshochwasser, wird eher die Verbesserung von physikalischen Modellen, oder die Integration von prozessbasierten und statistischen Verfahren angeraten. In der Schadensmodellierung fehlen nach wie vor die großen repr{\"a}sentativen Datens{\"a}tze, die f{\"u}r eine breite Anwendung von maschinellem Lernen Voraussetzung ist. Daher ist die Verbesserung der Datengrundlage im Bereich der Sch{\"a}den derzeit als wichtiger einzustufen als die Auswahl der Algorithmen.}, language = {en} }