27.04.2017 Intrusion Detection

Maschinelles Lernen schlägt Cyberkriminalität

Von: Ingo Steinhaus

Sicherheitsexperten hoffen, dass Künstliche Intelligenz das Rattenrennen zwischen Security und Hackern beendet.

Vor ein paar Tagen konnte Interpol einen großen Erfolg melden: In Zusammenarbeit mit Anbietern von Sicherheitslösungen ist es den Ermittlern gelungen, etwa 8800 Comand&Control-Server eines kriminellen Netzwerks stillzulegen. Deren Betreiber haben einiges auf dem Kerbholz: Sie waren in acht asiatischen Ländern aktiv und verteilten über ihr Netzwerk eine ganze Reihe von Malware-Familien. Unter anderem ging es um die Verbreitung von Ransomware, das Auslösen von DDOS-Angriffen und die Verteilung von Spam.

Für die Behörden ist das Abschalten der Server ein großer Erfolg, da sich die Sicherheitslage verbessert. Doch leider zeigt die Erfahrung, dass die Malware-Netzwerke eine Hydra sind: Für jeden ausgeschalteten Server wachsen ein paar Dutzend neue nach. Schlimmer noch: Cyberangriffe werden immer komplexer und auch die eingesetzten Hacking-Tools wandeln sich stetig.

Normalerweise haben Hacker und ihre Werkzeuge eine Handschrift, die von Experten recht gut wiedererkannt werden kann. Da die Cyberkriminalität eine Boombranche mit hoher krimineller Energie und potenziell gigantischen Gewinnen geworden ist, ändern sich die kriminellen Vorgehensweisen und Werkzeuge regelmäßig. So gibt es immer mehr Tools, deren Signaturen sich stark von den bisher bekannten unterscheiden.

Dies ist ein Problem für Security-Lösungen wie beispielsweise Intrusion-Detection-Systeme (IDS). Die meisten der aktuell im Einsatz befindlichen Systeme identifizieren Cyberangriffe anhand von einfachen, schnell zu erkennenden Signaturen. Dadurch entsteht ein Rattenrennen, bei dem die Security-Experten immer einen Fußbreit zurückbleiben. Es ist inzwischen selbst für sie schwer, jederzeit mit den Cyberkriminellen auf Augenhöhe zu bleiben.

Eine mögliche Lösung ist Künstliche Intelligenz, genauer gesagt maschinelles Lernen. Dabei werden nicht wie bei traditionellen Verfahren bestimmte Signaturen verglichen, sondern Systemereignisse im Rahmen einer Datenanalyse auf Sicherheitsverstöße untersucht. Hersteller von KI-basierten Intrusion-Detection-Systemen wie Vectra geben an, mit diesen IDS die Attacken von Cyberkriminellen auch dann zu entdecken, wenn sie keine Malware oder Exploits einsetzen.

KI-Systeme erkennen auch unbekannte Angriffsarten

Die KI-gestützten IDS-Modelle richten ihren Blick auf das Verhalten der Angreifer. Dadurch ist es nach Angaben der Hersteller möglich, auch bisher unbekannte Angriffsformen sehr zuverlässig aufzudecken. Ein Beispiel: Viele Angriffe sind über den Netzwerk-Traffic zu erkennen, den die Command&Control-Server der Angreifer erzeugen. Systeme, die auf Machine Learning basieren, können nach dem Training mit vorhandenen Angriffsmustern solche Attacken erkennen, auch wenn die Angreifer keine bekannten Werkzeuge dafür benutzen.

Dabei wird das maschinelle Lernen auf zwei verschiedene Weisen eingesetzt, wie Vectra in einem Whitepaper erläutert. Mit dem sogenannten „Supervised Machine Learning“ (überwachtes Lernen) wird die Anwendung anhand bekannter Datenmuster und Vorgehensweisen von Cyberkriminellen trainiert. Sie abstrahiert daraus Muster und Gemeinsamkeiten, die sie später in neuen Daten wiedererkennen kann.

Ergänzt wird dieses Lernmodell durch das „Unsupervised Machine Learning“ (Unüberwachtes Lernen), bei dem der Algorithmus auffällige Muster in den Ausgangsdaten ohne vorherige Kategorisierung und Eichung auf Zielwerte ermittelt. Dadurch werden Abweichungen vom „Normalzustand“ recht zuverlässig erkannt.

Der Unterschied zwischen diesen beiden Lernmodellen liegt unter anderem im Zeitpunkt des Trainings. Beim überwachten Lernen wird die Software im Vorfeld trainiert und kann dann sofort Cyberangriffe erkennen, die den Trainingsdaten ähneln. Beim nicht-überwachten Lernen wird die Software anhand des Alltagsbetriebs beispielsweise in einem Rechenzentrum mit dem dort typischen Datenverkehr bekannt gemacht, sodass sie nach einiger Zeit Auffälligkeiten entdecken kann.

Idealerweise werden beide Formen des maschinellen Lernens kombiniert eingesetzt, um ein sehr breites Spektrum an Angriffen zu erkennen. Der Vorteil gegenüber signatur-basierten Verfahren liegt in der erhöhten Geschwindigkeit und der recht guten Erkennung von bisher unbekannten Angriffsformen. Bisher sind die Angreifer den Sicherheitsexperten immer ein Stück voraus. Künstliche Intelligenz könnte dazu führen, dass die Verteidiger aufholen.

Bildquelle: Thinkstock

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH