{"id":15380,"date":"2021-11-01T10:00:08","date_gmt":"2021-11-01T09:00:08","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=15380"},"modified":"2022-03-31T10:36:19","modified_gmt":"2022-03-31T08:36:19","slug":"deep-learning-ein-feld-der-kuenstlichen-intelligenz-schritt-halten-mit-den-gefahren-von-morgen","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/deep-learning-ein-feld-der-kuenstlichen-intelligenz-schritt-halten-mit-den-gefahren-von-morgen\/","title":{"rendered":"Deep Learning &#8211; Ein Feld der K\u00fcnstlichen Intelligenz &#8211; Schritt halten mit den Gefahren von morgen"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/deep-learning-ein-feld-der-kuenstlichen-intelligenz-schritt-halten-mit-den-gefahren-von-morgen\/#Eine_Einordnung\" >Eine Einordnung<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/deep-learning-ein-feld-der-kuenstlichen-intelligenz-schritt-halten-mit-den-gefahren-von-morgen\/#Die_Daten\" >Die Daten<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/deep-learning-ein-feld-der-kuenstlichen-intelligenz-schritt-halten-mit-den-gefahren-von-morgen\/#Kuenstliche_Neuronale_Netze\" >K\u00fcnstliche Neuronale Netze<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/deep-learning-ein-feld-der-kuenstlichen-intelligenz-schritt-halten-mit-den-gefahren-von-morgen\/#Exkurs_Ein_Spielbeispiel\" >Exkurs: Ein Spielbeispiel<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/deep-learning-ein-feld-der-kuenstlichen-intelligenz-schritt-halten-mit-den-gefahren-von-morgen\/#Ansatz_zur_Erkennung_von_Angriffen_im_Netzwerk_mittels_Deep_Learning\" >Ansatz zur Erkennung von Angriffen im Netzwerk mittels Deep Learning<\/a><\/li><\/ul><\/nav><\/div>\n<p>W\u00e4hrend signatur- bzw. regelbasierte Erkennungsmethoden sehr zuverl\u00e4ssig im Kontext bekannter Gefahren eingesetzt werden k\u00f6nnen, sind gewisse Angriffsszenarien durch diese Methoden nicht adressierbar. Die zunehmende Komplexit\u00e4t, Kreativit\u00e4t sowie Entwicklungsgeschwindigkeit neuer Angriffsmethoden oder Varianten bereits bekannter stellt signaturgest\u00fctzte Detektionsverfahren vor Herausforderungen. Es bedarf zus\u00e4tzlicher Ans\u00e4tze, welche in der Lage sind, ein solches System dort zu unterst\u00fctzen, wo Signaturen und Regeln nicht mehr effektiv eingesetzt werden k\u00f6nnen.<\/p>\n<p>Damit betreten wir den Bereich der <strong>Anomalieerkennung.<\/strong> Diese Verfahren erlernen zun\u00e4chst das normale Verhalten der Umgebung, in welcher sie sich befinden, und beobachten diese. Ist nun eine signifikante Abweichung des \u00fcblichen Verhaltens festzustellen, f\u00fchrt dies zu einem Alarm. Geeignet ist ein solcher Ansatz zu Zwecken der Angriffserkennung, da Angriffe als eine Abweichung des Normalbetriebes eines Systems interpretiert werden k\u00f6nnen. Somit ist die Anomalieerkennung zu Zwecken der Angriffsdetektion ein in der Theorie gangbarer Weg.<\/p>\n<p>Dieser Entwurf erlaubt implizit Angriffsmethoden zu entdecken, welche<\/p>\n<ul>\n<li>mittels Signaturen nicht adressiert werden k\u00f6nnen<\/li>\n<li>neuartiger Natur sind.<\/li>\n<\/ul>\n<p>Letzteres liegt daran, dass der Ansatz nicht nach konkreten Angriffen sucht. Vielmehr erkennt es die Konsequenz dieser, n\u00e4mlich das ver\u00e4nderte Verhalten der Umgebung, welches durch den Angriff verursacht wird. Unser SECUINFRA Cyber Defense Expertenteam forscht kontinuierlich an der Anomalieerkennung mithilfe von Deep Learning, um Angriffe auf Netzwerkebene zu identifizieren.<\/p>\n<p>Mit diesem Artikel m\u00f6chten wir, m\u00f6glichst einsteigerfreundlich, einen nicht-technischen \u00dcberblick \u00fcber die Methodik und Idee bieten.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Eine_Einordnung\"><\/span>Eine Einordnung<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Bevor wir das Thema der Anomalieerkennung detaillierter ausf\u00fchren, m\u00f6chten wir zun\u00e4chst eine kurze Einordnung schaffen. Diese soll helfen zu verstehen, welche Bereiche das Thema k\u00fcnstliche Intelligenz unter anderem umfasst und wo sich dabei unsere Forschungsarbeit einreiht.<\/p>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\" wp-image-15388 aligncenter\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Einordnung-300x293.png\" alt=\"\" width=\"613\" height=\"598\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Einordnung-300x293.png 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Einordnung-1024x1001.png 1024w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Einordnung-768x751.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Einordnung-60x60.png 60w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Einordnung-24x24.png 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Einordnung-36x36.png 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Einordnung-48x48.png 48w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Einordnung.png 1164w\" sizes=\"(max-width: 613px) 100vw, 613px\" \/><\/p>\n<p>In der Literatur trifft man hierzu auf eine Vielzahl verschiedener Interpretationen, wie die einzelnen Bereiche in der k\u00fcnstlichen Intelligenz einzuordnen sind, beziehungsweise aus welchen diese besteht. Daher dient diese nicht vollst\u00e4ndige Grafik dem Zweck einer losen Orientierung.<\/p>\n<p><strong>Machine Learning<\/strong> ist derzeit das Feld, dem der Gro\u00dfteil der \u00f6ffentlichen Aufmerksamkeit zuteil wird. Diese Verfahren sind in der Lage, Gesetzm\u00e4\u00dfigkeiten in historischen Daten zu erfassen. Dabei unterscheidet sich der Vorgang interessanterweise gar nicht so sehr von der Art und Weise, wie wir Menschen lernen: Aus Beobachtungen und Erfahrungen generalisieren wir und schaffen auf diese Weise Wissen. Analog ist ein solches Verfahren ebenso in der Lage, durch die erkannten Muster und Charakteristiken zuk\u00fcnftig f\u00fcr unbekannte Daten L\u00f6sungen selbstst\u00e4ndig zu ermitteln.<\/p>\n<p><strong>Deep Learning<\/strong> bezieht sich hierbei auf eine Familie von Verfahren in der Machine Learning Dom\u00e4ne. Hier sprechen wir von k\u00fcnstlichen neuronalen Netzen. Von Deep Learning spricht man, wenn die Architektur des neuronalen Netzes eine gewisse Komplexit\u00e4t aufweist. Dies werden wir noch eingehender in dem Abschnitt erl\u00e4utern, der den Aufbau solcher Netze thematisiert.<\/p>\n<p>Beginnen wir nun aber mit dem wohl wichtigsten Abschnitt unserer Arbeit.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Die_Daten\"><\/span>Die Daten<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Die Qualit\u00e4t der Ergebnisse ist direkt von der Qualit\u00e4t der Daten abh\u00e4ngig. Auf den ersten Blick einleuchtend, stellt dies aber eine der gr\u00f6\u00dften Herausforderungen dar:<\/p>\n<ul>\n<li>Welche Daten erfasse ich?<\/li>\n<li>\u201eSprechen\u201c die Daten das, wonach ich suche?<\/li>\n<li>Das hei\u00dft, ist an dem, was ich beobachte, \u00fcberhaupt ein Eindringen in meine Netzwerkinfrastruktur sichtbar?<\/li>\n<li>In welcher Form erwartet meine Methode die Daten, damit sie daraus wirklich lernen kann?<\/li>\n<\/ul>\n<p><strong>Das sind nur einige Fragen, die es zu beantworten gilt, wenn es um die Datengrundlage geht.<\/strong> Dieser Abschnitt stellt den zeitintensivsten Aspekt dar. Die Herausforderung besteht darin, die Daten so zu w\u00e4hlen und aufzubereiten, dass unser Verfahren in der Lage ist zu sehen, was wir von ihm m\u00f6chten, das es sieht.<\/p>\n<p>Die Basis bilden Netzwerkdaten, besser gesagt: Mitschnitte in Form von PCAPs, welche die Kommunikation erfassen. Pro Beobachtung werden hier diverse Eigenschaften extrahiert. Diese Eigenschaften werden wir ab hier als<strong> Feature<\/strong> bezeichnen. Das ist in der Machine Learning Dom\u00e4ne der gel\u00e4ufige Begriff f\u00fcr \u201eEigenschaften von Beobachtungen\u201c.<\/p>\n<p><img decoding=\"async\" class=\" wp-image-15387 aligncenter\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Feature-300x194.png\" alt=\"\" width=\"633\" height=\"409\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Feature-300x194.png 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Feature-1024x662.png 1024w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Feature-768x497.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Feature-24x16.png 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Feature-36x23.png 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Feature-48x31.png 48w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Feature.png 1398w\" sizes=\"(max-width: 633px) 100vw, 633px\" \/><\/p>\n<p>Wie in der Abbildung zu sehen, werden in unserem Beispiel pro Beobachtung die Features \u201e\u00dcbertragungsdauer&#8220; und \u201eGr\u00f6\u00dfe der \u00fcbertragenen Daten\u201c erfasst.<\/p>\n<p><strong>Hier erkennt man, dass:<\/strong><\/p>\n<ul>\n<li>eine Zeile einer Beobachtung entspricht<\/li>\n<li>eine Spalte den Werteverlauf eines Features \u00fcber die Zeit repr\u00e4sentiert\n<ul>\n<li>also \u00fcber alle Beobachtungen<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Mit zunehmender Anzahl Beobachtungen zeichnet sich ein gewisses Grundverhalten in jedem unserer Feature ab.<\/p>\n<ul>\n<li>Welche Werte treten in diesem Feature im Verlauf der Zeit besonders h\u00e4ufig auf?<\/li>\n<li>Um wieviel streuen die Werte allgemein um diesen h\u00e4ufigsten Wert?<\/li>\n<li>In welchem Wertebereich bewegen sich die Werte \u00fcblicherweise?<\/li>\n<\/ul>\n<p>Je mehr dieser Beobachtungen verf\u00fcgbar werden, umso zuverl\u00e4ssiger lassen sich diese Fragen beantworten.<\/p>\n<p><img decoding=\"async\" class=\" wp-image-15386 aligncenter\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/overTime-300x154.png\" alt=\"\" width=\"635\" height=\"326\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/overTime-300x154.png 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/overTime-1024x524.png 1024w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/overTime-768x393.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/overTime-1536x786.png 1536w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/overTime-24x12.png 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/overTime-36x18.png 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/overTime-48x25.png 48w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/overTime.png 1840w\" sizes=\"(max-width: 635px) 100vw, 635px\" \/><\/p>\n<p>Diese Grafik zeigt ein sehr deutliches Bild \u00fcber die Werteentwicklung im Feature der \u00dcbertragungsdauer: Die Werte bewegen sich \u00fcberwiegend in einem wohldefinierten Wertebereich, hier mit \u201eRange Low\u201c und \u201eRange High\u201c gekennzeichnet. Ausrei\u00dfer sind nicht sichtbar, beziehungsweise die Schwankung vom Durchschnitt ist konstant. Ein klares Verhaltensbild. Hier ist anzumerken, dass in der Praxis \u00fcblicherweise diverse Vorverarbeitungs- und Bereinigungsschritte notwendig sind, bevor man ein solch klares Bild \u00fcber die Daten erh\u00e4lt. Die Grafik zeigt sozusagen bereits den Idealfall.<\/p>\n<p>Nun gilt es, dieses Verhalten mit all seinen Eigenschaften und Mustern zu erfassen: Hierzu machen wir uns Deep Learning zu Nutze.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Kuenstliche_Neuronale_Netze\"><\/span>K\u00fcnstliche Neuronale Netze<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<h3>Die Architektur<\/h3>\n<p>K\u00fcnstliche neuronale Netze sind lose durch das menschliche Gehirn inspiriert. Sie bestehen aus Neuronen, welche durch eine Vielzahl von Verbindungen mittels Signalen in Form numerischer Werte kommunizieren. Bei einem Neuron handelt es sich um eine Komponente, welche mathematische Operationen auf seinen Eingaben durchf\u00fchrt. Das Ergebnis entscheidet, mit welcher Intensit\u00e4t oder ob \u00fcberhaupt ein Signal an die Neuronen der nachfolgenden Schicht gesendet werden soll.<\/p>\n<p><strong>Die Eingaben an ein Neuron bestehen aus:<\/strong><\/p>\n<ul>\n<li>Ausgaben der Neuronen der vorherigen Schicht<\/li>\n<li>Koeffizienten, auch Weights genannt<\/li>\n<\/ul>\n<p>Diese beiden Komponenten werden kombiniert und durch das Neuron verarbeitet. Neuronen sind dabei in Schichten angeordnet. Diese Schichten werden jeweils als Eingabe-, Ausgabe- oder verborgene Schicht bezeichnet, je nach Lage im Netz.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\" wp-image-15382 aligncenter\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/NN-300x283.png\" alt=\"\" width=\"586\" height=\"553\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/NN-300x283.png 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/NN-1024x966.png 1024w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/NN-768x725.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/NN-24x24.png 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/NN-36x34.png 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/NN-48x45.png 48w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/NN.png 1172w\" sizes=\"(max-width: 586px) 100vw, 586px\" \/><\/p>\n<p>Ab einer gewissen Anzahl verborgener Schichten spricht man von \u201eDeep Learning\u201c, \u00fcblicherweise drei aufw\u00e4rts. Das bedeutet, Deep Learning ist eine Unterkategorie k\u00fcnstlicher neuronaler Netze, wie zu Beginn des Artikels in der Abbildung bereits gezeigt worden ist. Das Ziel neuronaler Netze ist es, Muster in Daten zu erfassen, welche wir ihnen pr\u00e4sentieren. Dabei ist irrelevant, um welche Daten es sich handelt. Bilder, Videos, Sensordaten, akustische Information, nur um ein paar Beispiele zu nennen. Solange es sich numerisch darstellen l\u00e4sst, ist es grunds\u00e4tzlich zur Verarbeitung geeignet.<\/p>\n<h3>Der Lernvorgang<\/h3>\n<p>Der Lernvorgang, beziehungsweise das Training, ist der Prozess der Extraktion signifikanter Muster und Gesetzm\u00e4\u00dfigkeiten aus historischen Daten, welche selbige grundlegend definieren.<br \/>\nVor Beginn w\u00e4hlen wir die Daten, welche in das neuronale Netzwerk eingegeben werden (unsere Beobachtungen) und die von uns erwarteten Ausgaben pro Eingabe. Der Lernalgorithmus beginnt damit, dass das neuronale Netzwerk pro Eingabe die korrespondierende Ausgabe gewisserma\u00dfen r\u00e4t. Da wir die erwartete Ausgabe kennen, kann hieraus ein Fehlerwert berechnet werden. Der Fehler ist, mit anderen Worten, eine Metrik die aussagt: \u201eWie falsch lag mein neuronales Netz mit seinem Ergebnis gegen\u00fcber dem erwarteten Wert f\u00fcr diese Beobachtung?\u201c<\/p>\n<p>Dieser Fehlerwert wird nun herangezogen, um die Weights des neuronalen Netzes so anzupassen, dass der Fehler beim n\u00e4chsten Versuch geringer ausf\u00e4llt. Das passiert im Kontext jeder pr\u00e4sentierten Beobachtung. Man kann sich jede Schicht, beziehungsweise deren Ausgaben, als eine Abstraktion unserer Eingabe vorstellen. Jede Schicht, au\u00dfer die erste, arbeitet also auf einer Darstellung unserer urspr\u00fcnglichen Eingabe, welche sie von der vorherigen Schicht erhalten hat. Je weiter unsere Eingabe im neuronalen Netzwerk voranschreitet, umso mehr wird sie reorganisiert und aggregiert. Die Weights dienen dazu, bei den Abstraktionen jeder Schicht die Elemente hervorzuheben, welche am relevantesten sind, um Ausgaben zu generieren, die m\u00f6glichst nahe an unseren erwarteten Zielwerten liegen. Somit erlangt im Zuge des Lernvorgangs das neuronale Netz zunehmend die F\u00e4higkeit, sich auf die Muster und Charakteristiken zu fokussieren, welche die tats\u00e4chlich unterliegende Beziehung zwischen allen Eingabe-Zielwert P\u00e4rchen beschreiben.<\/p>\n<p>Nachdem alle Eingabedaten einmal pr\u00e4sentiert worden sind, Ausgaben dazu generiert wurden und die Fehlerwerte zur Parameter-Optimierung genutzt worden sind, wird der Vorgang wiederholt. Und zwar mehrere, m\u00f6glicherweise hunderte Male. Im Idealfall jedoch jedes Mal mit einer leicht verbesserten Version des neuronalen Netzwerkes als im vorherigen Durchlauf, was sich in einem immer geringer werdendem Fehlerwert \u00e4u\u00dfert.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\" wp-image-15385 aligncenter\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Epoch-300x122.png\" alt=\"\" width=\"838\" height=\"341\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Epoch-300x122.png 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Epoch-1024x415.png 1024w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Epoch-1536x623.png 1536w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Epoch-24x10.png 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Epoch-36x15.png 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Epoch-48x19.png 48w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Epoch.png 1800w\" sizes=\"(max-width: 838px) 100vw, 838px\" \/><\/p>\n<p><strong>Das Ergebnis dieses Vorgangs ist ein sogenanntes Modell.<\/strong> Die Namensgebung ergibt sich aus dem Umstand, dass das Training dazu dient die zugrundeliegenden Zusammenh\u00e4nge zwischen den Eingaben und Zielwerten zu modellieren. Im besten Fall ist dieses Modell nun durch das Gelernte in der Lage ad\u00e4quat zu generalisieren, um zuk\u00fcnftig neue Eingaben in Ausgaben zu \u00fcberf\u00fchren, deren Zielwerte unbekannt sind. Die Aufgabe des Modells ist es nun, diese zuk\u00fcnftig selbst zu ermitteln.<\/p>\n<p>Ob das Modell dies zufriedenstellend erf\u00fcllt, kann nach dem Training evaluiert werden. Hierzu nutzen wir einen weiteren Datensatz aus Eingabewerten und dazu bekannten Zielwerten. Hier lassen wir f\u00fcr diese (in dem Training zuvor nicht pr\u00e4sentierten) Beobachtungen durch das Modell erneut Ausgaben erzeugen. Diese werden dann wieder mit den tats\u00e4chlichen Zielwerten verglichen. Dieser Vorgang simuliert den Produktiveinsatz. Ist der Fehler im Zusammenhang mit diesem unabh\u00e4ngigen Datensatz vergleichbar mit jenem zur Schlussphase des Trainings? Wenn ja, bedeutet dies, dass das neuronale Netzwerk h\u00f6chstwahrscheinlich im Zuge des Lernprozesses die Muster und Aspekte in den Eingabedaten erfassen konnte, mit welchen von den Eingaben auf die Zielwerte geschlossen werden kann.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Exkurs_Ein_Spielbeispiel\"><\/span>Exkurs: Ein Spielbeispiel<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>An dieser Stelle sei betont, das die vordefinierten Zielwerte beliebig sein k\u00f6nnen. Es gibt keine semantischen Einschr\u00e4nkungen, auf was man von seinen Eingaben abbilden kann. Sinnvoll sind aber nur Paarungen aus Eingaben und Zielwerten, bei denen der Zielwert auch wirklich aus der Eingabe abgeleitet werden kann und wo diese Beziehung erlernbar beziehungsweise \u00fcberhaupt existent ist.<br \/>\nOb das zutrifft, ist im \u00fcbrigen vorher nicht immer bekannt und auch nicht unbedingt feststellbar.<\/p>\n<p><strong>Ein Beispiel hierf\u00fcr w\u00e4re der Versuch der Vorhersage zuk\u00fcnftiger Preisentwicklungen einer Aktie anhand vergangener Trends und Preisbewegungen.<\/strong><\/p>\n<p>Sofern die Random Walk Theorie gilt, implizieren historische Preisbewegungen nicht jene in der Zukunft. Somit ist eine Vorhersage zuk\u00fcnftiger Preise basierend auf vergangenen Bewegungen per Definition nicht m\u00f6glich. Daher wird man dieses Problem auch nicht mit neuronalen Netzen l\u00f6sen k\u00f6nnen.<\/p>\n<p>Nun ist die Angelegenheit aber nicht ganz so eindeutig. Die Gegenannahme ist, dass bestimmte immer wieder auftretende Muster, welche durch Preisverl\u00e4ufe gebildet werden, die Wahrscheinlichkeit f\u00fcr einen anschlie\u00dfend steigenden oder fallenden Kurs erh\u00f6hen. Das Erkennen und entsprechende Handeln danach bildet eine Grunds\u00e4ule der Arbeit eines jeden Traders.<\/p>\n<p>Nach dieser These k\u00f6nnte man also anhand vergangener Preisbewegungen durchaus auf die Zukunft schlie\u00dfen und Empfehlungen im Stile von \u201eBuy\u201c oder \u201eSell\u201c mithilfe neuronaler Netze generieren lassen, je nach beobachtetem Preisbewegungsmuster.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\" wp-image-15384 aligncenter\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/BuySell-300x196.png\" alt=\"\" width=\"586\" height=\"383\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/BuySell-300x196.png 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/BuySell-1024x670.png 1024w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/BuySell-768x503.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/BuySell-1536x1005.png 1536w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/BuySell-24x16.png 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/BuySell-36x24.png 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/BuySell-48x31.png 48w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/BuySell.png 1586w\" sizes=\"(max-width: 586px) 100vw, 586px\" \/><\/p>\n<p>Welche der beiden Theorien nun tats\u00e4chlich zutrifft, da scheiden sich die Geister.<br \/>\nDieses Beispiel dient aber hier nur der Veranschaulichung. Denn je nach Problemstellung kann vorher nicht mit Sicherheit festgestellt werden, ob die Zielwerte aus den Eingaben hergeleitet werden k\u00f6nnen. Die beste Option, die sich einem in einem solchen Fall bietet, ist tats\u00e4chlich es \u201eeinfach auszuprobieren\u201c.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Ansatz_zur_Erkennung_von_Angriffen_im_Netzwerk_mittels_Deep_Learning\"><\/span>Ansatz zur Erkennung von Angriffen im Netzwerk mittels Deep Learning<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Nun wollen wir zu guter Letzt darauf eingehen, wie wir uns das zu Zwecken der Angriffserkennung zu Nutze machen m\u00f6chten.<br \/>\nDas \u00fcbergeordnete Ziel ist, das normale Verhalten der Computernetzwerkumgebung zu erfassen. Das bedeutet, dass unsere Netzwerkkommunikationsdaten so aufbereitet und unser neuronales Netzwerk so konstruiert werden muss, dass es lernen kann, welche Grundcharakteristiken unsere Daten definieren. Es gibt hier verschiedene M\u00f6glichkeiten, wie das technisch im Lernvorgang umgesetzt werden kann.<\/p>\n<p>Gegeben, dass eine Beobachtung im Netzwerk als Eingabe herangezogen wird, sind zwei m\u00f6gliche Optionen:<\/p>\n<ul>\n<li>den Zielwert auf zeitlich nach der Eingabe folgende Beobachtungen zu setzen<\/li>\n<li>den Zielwert gleich der Eingabe zu setzen.<\/li>\n<\/ul>\n<p><strong>Variante 1. ist gangbar,<\/strong> da das Vorhersagen zuk\u00fcnftigen Netzwerkverhaltens mit hinreichend geringem Fehler als erfolgreiche Modellierung der Computernetzwerkkommunikation gedeutet werden kann. Das neuronale Netzwerk muss lernen, \u201eeinen Blick in die Zukunft zu werfen\u201c &#8211; und das ist nur mit einem grundlegenden Verst\u00e4ndnis \u00fcber das Verhalten im Computernetzwerk m\u00f6glich.<\/p>\n<p><strong>Variante 2. ist ebenso valide,<\/strong> da hier aus den verschiedenen Abstraktionen der Eingaben \u00fcber alle Schichten hinweg gelernt werden muss, aus diesen die Eingaben selbst wiederherzustellen.<br \/>\nMeist werden neuronale Netzwerke in Variante 2. so konstruiert, dass \u00fcber die verborgenen Schichten Kompression und somit Datenverlust erzwungen wird. Das dient der Forcierung, nur die relevanten Informationen aus den Eingaben zu extrahieren, um so zu lernen, aus diesen alleine wieder auf die Eingaben zu schlie\u00dfen.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\" wp-image-15381 aligncenter\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Variants-300x214.png\" alt=\"\" width=\"904\" height=\"645\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Variants-300x214.png 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Variants-1024x730.png 1024w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Variants-768x548.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Variants-24x17.png 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Variants-36x26.png 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Variants-48x34.png 48w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Variants.png 1310w\" sizes=\"(max-width: 904px) 100vw, 904px\" \/><\/p>\n<p>Die Idee zur Nutzung dieses Entwurfes zur Angriffserkennung ist nun wie folgt:<br \/>\nEin durch einen Angriff verursachtes Verhalten stellt eine Abweichung vom normalen Verhalten des Computernetzwerkes dar.<br \/>\nDas Verhalten des Computernetzwerkes im Angriffsfall wird n\u00e4mlich andere Charakteristiken und Eigenschaften aufweisen, als das beobachtete Verhalten im Falle harmloser, t\u00e4glicher Netzwerkkommunikation.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\" wp-image-15383 aligncenter\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/AttPredFail-260x300.png\" alt=\"\" width=\"645\" height=\"744\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/AttPredFail-260x300.png 260w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/AttPredFail-889x1024.png 889w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/AttPredFail-768x885.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/AttPredFail-21x24.png 21w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/AttPredFail-31x36.png 31w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/AttPredFail-42x48.png 42w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/AttPredFail.png 1064w\" sizes=\"(max-width: 645px) 100vw, 645px\" \/><\/p>\n<p>In diesem Moment ist ein erh\u00f6hter Fehler zwischen den Ausgaben des neuronalen Netzwerkes und den tats\u00e4chlichen Netzwerkbeobachtungen zu erwarten. Das neuronale Netzwerk \u201erechnet\u201c nicht mit dieser Ver\u00e4nderung, weil es im Zuge des Lernvorgangs Verhaltensmuster in der Netzwerkkommunikation, welche durch Angriffe hervorgerufen werden, nicht gesehen und gelernt hat. Der erh\u00f6hte Fehler stellt damit einen Indikator f\u00fcr einen m\u00f6glichen Angriff dar.<\/p>\n<p><strong>Ein solcher Entwurf erlaubt in der Theorie die Detektion aller Angriffe,<\/strong> vorausgesetzt sie verursachen in den beobachteten Features merkliche Verhaltensver\u00e4nderungen. Ein sehr vielversprechender Ansatz, aber unter anderem wegen des Aspekts der Universalit\u00e4t ein ebenso herausfordernder. Daher ist dies nach wie vor ein weites Forschungsthema.<\/p>\n<p><em><strong>Wir hoffen, Sie konnten in diesem Artikel einen Einblick in die Thematik der Anomalie- beziehungsweise Angriffserkennung mittels Deep Learning erlangen. <\/strong><\/em><em><strong>Die SECUINFRA wird weiter daran forschen, wie Methoden der k\u00fcnstlichen Intelligenz f\u00fcr die Zwecke der Cybersecurity genutzt werden k\u00f6nnen. <\/strong><\/em><em><strong>Damit wir den Gefahren von morgen schon heute begegnen k\u00f6nnen.<\/strong><\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die zunehmende Komplexit\u00e4t neuer Angriffsmethoden oder Varianten bereits bekannter stellt signaturgest\u00fctzte Detektionsverfahren vor Herausforderungen. Es bedarf zus\u00e4tzlicher Ans\u00e4tze, welche in der Lage sind, ein solches System dort zu unterst\u00fctzen, wo Signaturen und Regeln nicht mehr effektiv eingesetzt werden k\u00f6nnen.<\/p>\n","protected":false},"author":13,"featured_media":27623,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[100,99,101,66],"tags":[],"dpc_coauthors":[],"class_list":["post-15380","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-angriffserkennung","category-deep-learning","category-netzwerk","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/15380","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=15380"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/15380\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/27623"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=15380"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=15380"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=15380"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=15380"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}