Sie sind hier: HomeSteuerungsebeneSafety & Security

Machine Learning: Wie KI die Informationssicherheit verbessern kann

Fortsetzung des Artikels von Teil 1.

ML zur Detektion von Sicherheitsvorfällen

Feature-Generierung aus den Daten Bildquelle: © TH Deggendorf

Feature-Generierung aus den Daten: Die Vorverarbeitung der Daten und Auswahl der Features nimmt eine zentrale Rolle ein, um geeignete Modelle zur Erkennung von Sicherheitsvorfällen zu bilden.

Durch eine verteilte IDS-Architektur in Kombination mit unsupervised Machine-Learning-Algorithmen kann das System auch bis dato unbekannte Angriffe schnell erkennen. Denn beim unsupervised Ma-chine Learning müssen die Daten keine Labels enthalten (normal beziehungsweise anormal). Ein Beispiel ist der Isolation Forest Algorithmus, der zur Gruppe der ‚Outlier Detection‘ gehört. Dieser Algorithmus ist in der Lage, Ausreißer zu detektieren ohne vorher die genauen Strukturen der Daten zu kennen. Hierfür wird versucht, Ausreißer durch Isolation von anderen Daten zu trennen. Die Hauptannahme ist dabei, dass sich Datenpunkte, die sich wesentlich von anderen unterscheiden (Anomalien), leichter von anderen (normalen) Daten separieren lassen. Für das Generieren eines Modells sind dazu nur kleine Sub-Sets an Daten, zum Beispiel ein Mitschnitt des Netzwerk-Verkehrs, erforderlich. Jedes dieser Sub-Sets wird für die Erzeugung eines Binärbaums (iTree) herangezogen. Mehrere dieser Binärbäume bilden das Modell (iForest), dass für die Klassifizierung beziehungsweise die Anomalie-Erkennung herangezogen wird.

Der Prozess des Machine Learning gliedert sich in der vorgestellten Architektur in zwei Phasen: Zuerst werden aus bestehenden Daten Modelle gebildet (Trainingsphase). Dazu erfassen Sensoren relevante Netzwerk-Daten. Die Platzierung der Sensoren bildet dabei eine wichtige Grundlage zur effektiven Überwachung eines Netzwerks. Hierfür bietet die vorgestellte Lösung mehrere Möglichkeiten. 

  1.  Als TAP-Device vor den jeweiligen Netzwerk-Komponenten/-Segmenten 
  2. Betrieb der Sensoren an einem Mirror-ing-Port eines managed Switch
  3. Als Agent auf den eingesetzten indus-triellen Komponenten (zum Beispiel SPS, HMI)

Durch entsprechende Vorverarbeitung sind relevante Features extrahierbar. Diese Features beinhalten neben gängigen Eigenschaften, wie zum Beispiel MAC- und IP-Adressen, protokollspezifische Informationen (Modbus/TCP, Profinet etc.). Dadurch wird auch der normalerweise bei industriellen Prozessen vorherrschende Determinismus erlernt, was eine verbesserte Erkennungsrate zur Folge hat und außerdem die Anzahl der Fehlalarme reduziert. Die Effizienz des Algorithmus hängt stark von den genutzten Features ab. So ergeben sich die besten Erkennungs-raten nicht zwangsweise beim Einsatz aller verfügbaren Features. Hier gilt es bereits im Entwurf entsprechendes Wissen über Netzwerk-Protokolle oder Industrial Control Systems (ICS) einzubringen. Dadurch sind im Betrieb dann auch mit leicht-gewichtigen Algorithmen, wie Isolation Forest, vergleichsweise gute Ergebnisse erzielbar.

Um eine ideale Erkennungsrate bei möglichst wenigen Fehlalarmen (false positives) zu erreichen, ist es sinnvoll, die Auswahl der genutzten Features zu optimieren. Ein möglicher Ansatz, das beste Feature-Set zu finden, ist die Ermittlung durch Probieren aller möglichen Kombinationen. Dabei steigt jedoch die Anzahl der zu testenden Feature-Sets exponentiell mit der Anzahl der verfügbaren Features. Zu bevorzugen ist somit eine Methode zur Herleitung eines Feature-Sets anhand der Ergebnisse aktueller Tests im laufenden Betrieb. 

Die erzeugten Modelle werden im nächs-ten Schritt wieder an die Sensoren verteilt. Da die eingesetzten Machine-Learning-Verfahren, wie etwa der Isolation Forest Algorithmus, besonders ressourcenschonend bezüglich Rechenleistung und Speicherbedarf sind, bedarf es in der zweiten Phase – der Testphase – weit weniger Ressourcen. Somit kann das Überprüfen auf Anomalien problemlos durch die Sensoren, die hauptsächlich auf eingebetteten Systemen umgesetzt sind, durchgeführt werden. Ein daraus resultierender entscheidender Aspekt ist, dass die IDS-Architektur gut skaliert und somit ideal für große Netzwerke geeignet ist.