Gérard Bauer

ist Vice President EMEA bei Vectra Networks.

Deep Learning: Cybersicherheit, die denkt, denkt tiefer

Egal ob es darum geht, einen Nagel einzuschlagen, eine Schraube zu befestigen oder einen versteckten HTTP-Tunnel zu erkennen: Es kommt darauf an, das richtige Werkzeug zu benutzen, weiß Gérard Bauer, Vice President EMEA bei Vectra Networks.

Auch beim maschinellen Lernen (ML) im Kampf gegen Cyberbedrohungen braucht man die richtigen Werkzeuge. Die Implementierung des optimalen ML-Tools für jeden Algorithmus zur Erkennung des Angreiferverhaltens ist eine effektive Strategie, denn jede Methode hat ihre eigenen Stärken. Das Modell, das am besten geeignet ist, um einen Angriff in Form einer SQL-Injektion gegen eine interne Datenbank aufzuspüren, ist nicht zwangsläufig das optimale Modell, um einen versteckten HTTP-Tunnel oder einen Angreifer zu finden, der sich seitlich im Netzwerk bewegt.

Weil die zugrundeliegenden Verhaltensweisen so unterschiedlich sein können, studieren Datenwissenschaftler und IT-Sicherheitsexperten jedes Verhalten, bevor sie das beste maschinelle Lerninstrument wählen, um das Verhalten zu erkennen.

Neue Bedrohungen machen neue Wege in der Abwehr nötig. (Bild: Vectra Networks)
Neue Bedrohungen machen neue Wege in der Abwehr nötig. (Bild: Vectra Networks)

In Zusammenhang mit maschinellem Lernen fällt in letzter Zeit immer häufiger der Begriff “Deep Learning”. Dieser bezeichnet laut Wikipedia “eine Klasse von Optimierungsmethoden künstlicher neuronaler Netze, die zahlreiche Zwischenlagen (engl. hidden layers) zwischen Eingabeschicht und Ausgabeschicht haben und dadurch eine umfangreiche innere Struktur aufweisen”.

Die Wurzeln hat das “tiefgehende Lernen” in der Mathematikforschung der 1940er Jahre. Die fehlenden Rechenressourcen, um diese Lernmodelle umzusetzen und zu trainieren, verhinderten damals eine praxisorientierte Umsetzung. Es blieb bei der theoretischen Forschung, erst in den 1970er und 80er Jahren wagten sich Wissenschaftler an praktisch nutzbare Systeme. Bis etwa zur Jahrtausendwende waren die verfügbaren Rechenressourcen jedoch unzureichend.

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Dies hat sich seitdem gewaltig geändert. In den letzten Jahren erlebt das Interesse an Deep Learning eine Renaissance im großen Stil, nicht zuletzt dank der Anstrengungen innovativer Tech-Start-ups, aber auch etablierter Branchengrößen aus dem Silicon Valley. Das New York Times Magazine veröffentlichte Ende 2016 einen aufschlussreichen Beitrag darüber, wie Google in seinem Übersetzungstool Google Translate Deep-Learning-Methoden einsetzt.

Im modernen IT-Zeitalter ist die Rechenleistung massiv angewachsen. Endlich können riesige Datensätze bewältigt und Rechenprozesse effizient ausgeführt werden, um Modelle zu trainieren, etwa für Übersetzungstools. Deep-Learning-Modelle sind äußerst effektiv beim Lernen und Vorhersagen, was als nächstes in einer Abfolge von Inhalten kommen wird. Diese Sequenzen könnten Wörter in einem Satz oder Sätze in einem Absatz sein.

Ebenso ist es äußerst effektiv, die nächsten Buchstaben in einem Domainnamen zu erkennen, wie sie in einer DNS-Abfrage oder in Paketen in einem Netzwerkdatenstrom gefunden werden, der eine Cyberbedrohung darstellen könnte. Deep-Learning-Modelle haben eine speicherähnliche Charakteristik, die es ihnen ermöglicht, vorherzusagen, was wahrscheinlich als nächstes passiert, basierend auf dem, was sie bereits identifiziert haben.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Auf dem IT-Sicherheitmarkt gibt es nun Deap-Learning-Algorithmen, die Verhaltensweisen von Angreifern in Unternehmensnetzwerken erkennen. Ein erstes Deep-Learning-Modell konzentriert sich beispielsweise auf die Erkennung von algorithmisch erzeugten Domains, die Angreifer als Front-End ihrer Command-and-Control-Infrastruktur aufbauen. Dieses Verhalten wird erkannt und als “Suspect Domain”, also verdächtige Domain erfasst. Die Ergebnisse in der Praxis sind vielversprechend.

In Anbetracht der wichtigen Rolle von Deep Learning bei Übersetzungen lassen sich die Fähigkeiten des Modells auch auf die Überwachung nicht-englischsprachiger Domains übertragen. Die unterschiedliche Mischung von Konsonanten und Vokalen in deutschen oder chinesischen Domains erfordert jedoch viele zusätzliche Schichten der Korrelation und Überprüfung mit noch mehr Standard-ML-Techniken.

Deep Learning bewältigt aber auch diese Hürde. Die Umsetzung von Deep Learning für die Erkennung verdächtiger Domains hat multinationalen Kunden, die in ihren Vertretungen in Deutschland und China tätig sind, bereits erheblich geholfen. Es werden weitere auf Deep Learning basierende Erkennungsalgorithmen folgen, um fortgeschrittene Verhaltensweise von Angreifern in Netzwerken zu erkennen.