Ein neuartiger mehrstufiger Ansatz für die hierarchische Intrusion-Detection

Ein Intrusion-Detection-System (IDS), traditionell ein Beispiel für ein effektives Sicherheitsüberwachungssystem, steht aufgrund der kontinuierlichen Digitalisierung unserer modernen Gesellschaft vor erheblichen Herausforderungen. Die wachsende Anzahl und Vielfalt an vernetzten Geräten führt nicht nur zu einer stetigen Entstehung neuer, bisher von bestehenden Systemen nicht erkannter Bedrohungen, sondern auch zu einer Datenmenge, die die Kapazitäten eines einzelnen Systems übersteigt. Dies verdeutlicht die Notwendigkeit eines skalierbaren IDS, das in der Lage ist, unbekannte, sogenannte Zero-Day-Angriffe zu erkennen. In diesem Beitrag wird ein neuartiger mehrstufiger Ansatz für eine hierarchische Intrusion-Detection vorgestellt. Der vorgeschlagene Ansatz wird an den öffentlichen Benchmark-Datensätzen CIC-IDS-2017 und CSE-CIC-IDS-2018 validiert. Die Ergebnisse zeigen, dass der vorgeschlagene Ansatz neben einer effektiven und robusten Erkennung von Zero-Day-Angriffen sowohl die Baseline als auch bestehende Ansätze übertrifft und eine hohe Klassifizierungsleistung erzielt – bis zu 96 % ausgewogene Genauigkeit (balanced accuracy). Zudem ist der vorgeschlagene Ansatz leicht anpassbar, erfordert keinerlei Neutrainings und nutzt n-fach verteilte Architekturen, um Bandbreiten- und Rechenanforderungen zu reduzieren, ohne dabei Datenschutzanforderungen zu verletzen. Die besten Modelle mit einem ausgewogenen Satz an Schwellenwerten klassifizierten 87 % bzw. 41 von 47 Zero-Day-Angriffen korrekt und reduzierten gleichzeitig die Bandbreitenanforderungen um bis zu 69 %.