Geplantes Forschungsprojekt KI-SIEM

Erkennung von Cyberangriffen in Event Logs mithilfe eines modularen Frameworks

Erfolgreiche Cyberangriffe auf Unternehmen, staatliche Einrichtungen und andere Organisationen sind inzwischen an der Tagesordnung. Oft wird gezielt in die Netzwerke von Organisationen eingedrungen, um Daten zu stehlen, zu manipulieren oder zu löschen.

Ziel des Forschungsprojekts

ist die Entwicklung eines modularen Frameworks, mit dessen Hilfe Organisationen derartige Netzwerkeinbrüche besser erkennen können.

Neu an diesem Framework-Konzept ist, verschiedene Komponenten zur Sammlung, Aufbereitung und Auswertung von Event Logs zu erweitern und zu kombinieren. Innerhalb des Frameworks werden drei Arten von Komponenten erforscht, entwickelt und integriert:

  • neuartige Analysemodule zur Erkennung von Cyberangriffen,
  • kommerzielle Log-Management- und Pseudonymisierungs-Komponenten des Produkts ProLog der NETZWERK Software GmbH sowie
  • etablierte Open-Source-Komponenten zur Sammlung und Analyse von Event Logs.

Mit dem Einsatz bestehender Komponenten aus Open-Source und ProLog wird viel Entwicklungsaufwand gespart.

Es kann sich auf die Forschungskomponenten der Klassifizierung, Tagging, Generierung von Merkmalen, ein vielgestaltiges Datenbankmodell (polyglot persistence) und den Datenfluss innerhalb des Frameworks konzentriert werden.

 

In diesem Zusammenhang sollen auch semi- und nichtüberwachte Verfahren des maschinellen Lernens erforscht und bewertet werden. Dabei kann auf die aktuellen Arbeiten zur Anomalie Erkennung mit Methoden des maschinellen Lernens zurückgegriffen werden.

Struktur des angestrebten Frameworks inklusive aller Komponenten, die im Rahmen des Projekts entwickelt bzw. integriert werden sollen

angestrebtes Framework1000