Anomalieerkennung

Kontakt: Aubrey-Derrick Schmidt, Seyit Ahmet Camtepe

 

Personalisierte Attacken und Malware sind eine große Bedrohung für heutige Computer-Systeme.Signatur-basierte Ansätze, wie bei Anti-Viren-Software und missbrauchs-basierten Eindringlingserkennungssystemen, können bekannte Angriffe und Malware effizient durch Überprüfung von bekannten Mustern erkennen. Dies hält die falsch-positiven Rate und Erkennungsfehlschläge bei bekannten Bedrohungen sehr gering. Während diese System gut bei bekannten Bedrohungen einsetzbar sind, funktionieren sie schlecht bei unbekannten Angriffen, welches auch alte aber unbekannte Malware oder 0-Day-Angriffen werden sein können. Für die Bekämpfung dieser unbekannten Bedrohungen wurden Anomalie-basierte Eindringerkennungssystem entwickelt. Diese Systeme verwenden meist Verfahren des maschinellen Lernens, welche in der Lage sind, das normale Verhalten eines Systems zu erlernen. Wann immer etwas Abnormales passiert, werden Warnungen generiert. Aktuelle Anomalie-basierte Systeme leiden immer noch unter einigen Schwächen, die in der Forschung behandelt werden müssen.

Ein großes Problem hierbei ist die Höhe der erzeugten Fehlalarme. Da die menschliche Wahrnehmung von Normalität sogar als eine Reihe von Ereignissen definieren lässt, die sich innerhalb von Jahrzehnten oder einer Lebens-Zeit ereignen, führen seltene Ereignisse bei Anomalie-basierten Systemen in der Regel zu einem Alarm. Die Gründe hierfür sind in der Regel im Training der Systeme zu suchen, welches dem System das Verständnis für die Normalität lehrt. Je kürzer die Trainingsphase, desto wahrscheinlicher führt ein seltenes Ereignis zu einem Fehlalarm. Ein weiteres Problem ist die Tatsache, dass die meisten Dinge sich im Laufe der Zeit ändern. Dies erfordert Mechanismen, welche es dem System ermöglichen, die „neue“ Normalität zu erlernen. Doch wenn das System lernt, ist es anfällig dafür, böswillige Aktivitäten als normal zu erlernen. Ein weiteres wichtiges Thema der Anomalieerkennung ist die Schwierigkeit, die großen Mengen an Daten solcher Systeme zu handhaben. Das Handhaben von Massendaten kann als eigenständige Forschungsrichtung angesehen werden, welches mehrere ungelöste Probleme beinhaltet.

Das Competence Center Security des DAI-Labors betreibt Forschung auf Gebiet der Anomalie-basierte Erkennung in den Bereichen Mobile Sicherheit und Ambient Assistant Living. In beiden Bereichen, werden innovative Ansätze kontinuierlich weiterentwickelt, die zu immer mehr zuverlässigen Systemen führen.