Seite - 78 - in Künstliche Intelligenz - Technologie | Anwendung | Gesellschaft

78 A Technologie den.24 Außerdem werden mit Hilfe von ML Modelle erlernt, um Voraussagen über Ereignisse und Verwundbarkeiten in der Zukunft zu treffen.25 Haq et al. (2015) stellen eine umfangreiche Studie zu Verfahren des ML für IDS vor. Darin untersuchen sie 49 Forschungsbeiträge zu Klassifikationsalgorithmen für Intru- sion Detection, sowohl zum überwachten als auch zum unüberwachten Lernen. Beim überwachten Lernen werden meistens die Trainingsdaten vorkategorisiert, ver- einfacht in „Angriff“ oder „kein Angriff“. Durch Vergleiche werden neue Fälle ent- sprechend einsortiert und die Sortierung wird fortlaufend überwacht. Methoden zum unüberwachten Lernen lassen sich im Wesentlichen als Clusterver- fahren charakterisieren. In Haq et. al. werden dazu eine ganze Reihe von Verfahren genannt, für deren Erläuterung hier auf das Originalpapier verwiesen wird. Beispiele für überwachtes Lernen sind Artificial Neural Network, Bayesian Statistics, Gaussian Process Regression, Lazy learning, Nearest Neighbor algorithm, Support Vector Machine, Hidden Markov Model, Bayesian Networks, Decision Trees (C4.5, ID3, CART, Random Forrest), K-nearest neighbor, Boosting, Ensembles classifiers, Linear Classifiers und Quadratic classifiers. Beispiele für unüberwachtes Lernen sind dort Cluster analysis, Hierarchical clustering, Self-organizing map, Apriori algorithm, Eclat algorithm und Outlier detection. Besonders schwierig ist die Erkennung von Advanced Persistent Threats (APTs).26 Sie sind meistens auf ein ganz bestimmtes Ziel im Unternehmen ausgerichtet, nutzen unter Umständen unbekannte Sicherheitslücken und verwenden sehr komplexe Angriffsstrategien, die zudem nicht nur auf IT beruhen. Die Angriffe sind beharrlich und verlaufen über Wochen, Monate oder Jahre. Durch den speziellen Zuschnitt sind sie kaum anhand allgemeiner Muster zu erkennen. Für die Identifizierung sind oft detaillierte Analysen notwendig. Arnaldo, Cuesta-Infante, Arun, Lam, Bassias und Veeramachaneni (2017) stellen in ihrem Forschungsbeitrag einen Rahmen vor, um Repräsentationen von Logdaten zu lernen, mit dem Ziel, APTs zu erkennen, die sich über mehrere Wochen hinziehen. Der Ansatz nutzt eine divide-and-conquer- Strategie (rekursive Problemzerlegung mit anschließender Synthese) und kombiniert diese mit Verhaltensanalysen und Zeitrei- henmodellen. Es wird gezeigt, dass auf einer Basis von drei Milliarden Zeilen Log- 24 https://www.websecurity.symantec.com/de/de/security-topics/machine-learning-new-fron- tiers-advanced-threat-detection , zuletzt geprüft am 22.06.2018 25 https://www.recordedfuture.com/machine-learning-application/ , zuletzt geprüft am 22.06.2018 26 https://searchsecurity.techtarget.com/definition/advanced-persistent-threat-APT, zuletzt geprüft am 22.06.2018