Das AIT arbeitet an neuartigen Konzepten, Algorithmen und Systemen, die unter Einsatz von Machine Learning das Systemverhalten charakterisieren und Abweichungen von einem festgelegten Ausgangszustand entdecken können. Mit Hilfe dieser Lösungen zur adaptiven Verarbeitung von Netzwerk-Logstreams können häufig auftretende Muster in Logfiles erkannt, klassifiziert und geclustert werden, um schließlich bekannte “gute” Aktivitäten von unbekannten schädlichen Aktivitäten in betrieblichen IT-Infrastrukturen zu unterscheiden – ein selbstlernender Ansatz mit minimalem manuellem Konfigurationsaufwand.

Durch die effektive Verknüpfung mit Lösungen zur Gefahrenerkennung kann das System zur Anomalieerkennung individuell eingestellt und auf die jeweiligen Bedrohungsbereiche fokussiert werden. Umgekehrt lassen sich durch die Extraktion von Indikatoren aus rohen Logdaten Informationen über potenzielle Bedrohungen mit minimalem personellen Aufwand gewinnen.

Challenges/Key Questions

• Verständnis potentieller Angriffsvektoren und -techniken in modernen Systemen.
• Aufbau effizienter Algorithmen zur Extraktion, Klassifizierung und Clustering von häufig auftretenden Mustern in Logfiles.
• Erstellung von Konzepten zur automatischen Profilerstellung für das Systemverhalten durch reine Beobachtung.
• Erkennung von Anomalien im Systemverhalten als Folge von Eindringversuchen.
• Korrelation der erkannten Anomalien mit Informationen über potenzielle Bedrohungen und Anreicherung der Ergebnisse mit Kontextinformationen.
• Unterstützung der Lageerkennung durch Erhebung, Aggregation und Auswertung der wichtigsten Informationen.