UiO-CERT logger alle kjøringer av prosesser på Windows klienter og servere på hele UiO ved hjelp av Sysmon-applikasjonen som ligger på Windows. Det lagres historikk på 15.000+ maskiner i et kontinuerlig tidsvidnu på 6 måneder.
Dette gir informasjon om hvilke prosesser som starter hvilke andre prosesser, der det er mulig å oppdage mønstre og anomalier som for eksempel
- makrovirus
- hvis Office-pakken starter powershell eller cmd.exe
Denne oppgaven fokuserer på å analysere “parent/child” relasjoner i loggdata over prosesser som starter, for å vurdere i hvilken grad dette kan avdekke unormale kjøringer som avvik fra normale kjøringer. En tilnærming kan være grafdatabaser som neo4j eller lignende som kan bidra til å søke unormale sekvenser. Et annet spørsmål som det er interessant å undersøke er om det er en vesensforskjell i fordelingen på en server vs. en sluttbrukerklient.
Dette oppgaven gjøres i samarbeid med USIT/UiO-CERT.