Company

Deep Learning in der Cybersicherheit

Geschrieben von Gérard Bauer am 22.08.2017 00:36:41

Finden Sie mich auf:

deep learning photo.jpgCyber-Angriffe werden immer komplexer, aber endlich ist die Rechenleistung so stark angewachsen, dass riesige Datensätze bewältigt und Rechenprozesse effizient ausgeführt werden können, um Deep-Learning-Modelle zu trainieren. Inzwischen gibt es erste Deep-Learning-Algorithmen, die Verhaltensweisen von Angreifern in Unternehmensnetzwerken erkennen können. Die Ergebnisse in der Praxis sind vielversprechend.

Egal ob es darum geht, einen Nagel einzuschlagen, eine Schraube zu befestigen oder einen versteckten HTTP-Tunnel zu erkennen: Es kommt darauf an, das richtige Werkzeug zu benutzen. Mit dem falschen Werkzeug zieht sich die Aufgabe in die Länge, wertvolle Ressourcen werden verschwendet oder das Ergebnis ist mangelhaft. 

Wenn man maschinelles Lernen (ML) im Kampf gegen Cyberbedrohungen nutzt, ist es nicht anders. Die Implementierung des optimalen ML-Tools für jeden Algorithmus zur Erkennung des Angreiferverhaltens ist eine effektive Strategie, denn jede Methode hat ihre eigenen Stärken. Das Modell, das am besten geeignet ist, einen Angriff in Form einer SQL-Injektion gegen eine interne Datenbank aufzuspüren, ist nicht zwangsläufig das optimale Modell, um einen versteckten HTTP-Tunnel oder einen Angreifer zu finden, der sich seitlich im Netzwerk bewegt.

Weil die zugrundeliegenden Verhaltensweisen so unterschiedlich sein können, studieren Datenwissenschaftler und IT-Sicherheitsexperten jedes Verhalten, bevor sie das beste maschinelle Lerninstrument wählen, um das Verhalten zu erkennen.

In Zusammenhang mit maschinellem Lernen fällt in letzter Zeit immer häufiger der Begriff „Deep Learning“. Dieser bezeichnet laut Wikipedia „eine Klasse von Optimierungsmethoden künstlicher neuronaler Netze, die zahlreiche Zwischenlagen (engl. hidden layers) zwischen Eingabeschicht und Ausgabeschicht haben und dadurch eine umfangreiche innere Struktur aufweisen“. Seine Wurzeln hat das „tiefgehende Lernen“ in der Mathematikforschung der 1940er Jahre. Die fehlenden Rechenressourcen, um diese Lernmodelle umzusetzen und zu trainieren, verhinderten damals eine praxisorientierte Umsetzung. Es blieb bei der theoretischen Forschung, erst in den 1970er und 80er Jahren wagten sich Wissenschaftler an praktisch nutzbare Systeme. Bis etwa zur Jahrtausendwende waren die verfügbaren Rechenressourcen jedoch unzureichend.

Dies hat sich seitdem gewaltig geändert. In den letzten Jahren erlebt das Interesse an Deep Learning eine Renaissance im großen Stil, nicht zuletzt dank der Anstrengungen innovativer Tech-Startups, aber auch etablierter Branchengrößen aus dem Silicon Valley. Das New York Times Magazine veröffentlichte Ende 2016 einen aufschlussreichen Beitrag darüber, wie Google in seinem Übersetzungstool Google Translate Deep-Learning-Methoden einsetzt.

Im modernen IT-Zeitalter ist die Rechenleistung massiv angewachsen. Endlich können riesige Datensätze bewältigt und Rechenprozesse effizient ausgeführt werden, um Modelle zu trainieren, etwa für Übersetzungstools. Deep-Learning-Modelle sind äußerst effektiv beim Lernen und Vorhersagen, was als nächstes in einer Abfolge von Inhalten kommen wird. Diese Sequenzen könnten Wörter in einem Satz oder Sätze in einem Absatz sein.

Ebenso ist es äußerst effektiv, die nächsten Buchstaben in einem Domainnamen zu erkennen, wie sie in einer DNS-Abfrage oder in Paketen in einem Netzwerkdatenstrom gefunden werden, der eine Cyberbedrohung darstellen könnte. Deep-Learning-Modelle haben eine speicherähnliche Charakteristik, die es ihnen ermöglicht, vorherzusagen, was wahrscheinlich als nächstes passiert, basierend auf dem, was sie bereits identifiziert haben.

Auf dem IT-Sicherheitsmarkt gibt es nun Deep-Learning-Algorithmen, die Verhaltensweisen von Angreifern in Unternehmensnetzwerken erkennen. Ein erstes Deep-Learning-Modell konzentriert sich beispielsweise auf die Erkennung von algorithmisch erzeugten Domains, die Angreifer als Front-End ihrer Command-and-Control-Infrastruktur aufbauen. Dieses Verhalten wird erkannt und als „Suspect Domain“, also verdächtige Domain erfasst. Die Ergebnisse in der Praxis sind vielversprechend.

In Anbetracht der wichtigen Rolle von Deep Learning bei Übersetzungen lassen sich die Fähigkeiten des Modells auch auf die Überwachung nicht-englischsprachiger Domains übertragen. Die unterschiedliche Mischung von Konsonanten und Vokalen in deutschen oder chinesischen Domains erfordert jedoch viele zusätzliche Schichten der Korrelation und Überprüfung mit noch mehr Standard-ML-Techniken. Deep Learning bewältigt aber auch diese Hürde. Die Umsetzung von Deep Learning für die Erkennung verdächtiger Domains hat multinationalen Kunden, die in ihren Vertretungen in Deutschland und China tätig sind, bereits erheblich geholfen.

Es werden weitere auf Deep Learning basierende Erkennungsalgorithmen folgen, um fortgeschrittene Verhaltensweise von Angreifern in Netzwerken zu erkennen. 

Interessiert, lesen die den neuesten "Attacker Behavior Industrie Report 2017" hier

Themen: AI, deep learning, cybersicherheit, KI