Künstliche Intelligenz und Machine Learning

Sicherheit durch intelligente Analytics-Anwendungen

| Autor / Redakteur: Karin Johanna Quack / Peter Schmitz

Künstliche Intelligenz und Machine Learning sollen helfen, Security-Analytics-Systeme um selbstlernenden Funktionen zu erweitern, die Bedrohungen schnelle rund genauer erkennen als der Mensch.
Künstliche Intelligenz und Machine Learning sollen helfen, Security-Analytics-Systeme um selbstlernenden Funktionen zu erweitern, die Bedrohungen schnelle rund genauer erkennen als der Mensch. (Bild: Pixabay / CC0)

Wenn nachts die Alarmanlage unseres Autos losheult, sind wir in Nullkommanichts auf den Beinen. Oft genug ist es falscher Alarm, aber deswegen werden wir ihn noch lange nicht ignorieren. Auch IT-Systeme sind sich oft nicht sicher, ob sie tatsächlich bedroht werden. Analytics-Systeme mit selbstlernenden Funktionen helfen ihnen bei der Entscheidung.

Einbruchs- oder Betrugsversuche aufzuspüren ist nicht das einzige Problem, mit dem Cybersecurity-Verantwortliche kämpfen. Sicher, wenn die eigenen oder die Daten der Kunden verloren gehen beziehungsweise manipuliert werden, kostet das Geld und Reputation. Aber genauso schlimm ist es, wenn die Sicherheitssysteme ständig Bedrohungen melden, die gar keine sind (im Fachjargon: False Positives). Dann wird möglicherweise die Ausführung völlig legaler Transaktionen verweigert, was die Nutzer verärgert. Zudem verschwenden die Security-Leute einen Großteil ihrer Ressourcen darauf, Phantomen hinterherzujagen. Und last, but not least laufen sie sogar Gefahr, vor lauter Bäumen den Wald zu übersehen, sprich: die realen Data-Leaks oder Frauds am Ende zu unterschätzen.

Vor diesen Gefahren können Machine-Learning-unterstützte Analysesysteme schützen. Ihre Algorithmen beobachten permanent alle Datenbewegungen und gleichen sie mit den Charakteristika krimineller Aktivitäten ab. Wie gut diese Systeme arbeiten, hängt von den Algorithmen und Modellen – oder eigentlich: von deren Schöpfern – ab. Deshalb beschäftigen die Security-Abteilungen großer Unternehmen, vor allem aber die Dienstleister in diesem Marktsegment, spezialisierte Security Data Scientists.

Eine erfahrene Fachfrau auf diesem Gebiet ist Celeste Fralick, Chief Data Scientist bei McAfee. „Für ein menschliches Gehirn sind das einfach zu viele Informationen; deshalb brauchen wir die Hilfe automatischer und selbstlernender Systeme“, sagt Fralick. Wobei sie den Begriff der Künstlichen Intelligenz zunächst vermeidet. Denn was gemeinhin unter dem Kürzel AI subsummiert werde, seien sehr unterschiedliche Ausprägungen von „analytischer Intelligenz“, hat sie festgestellt.

Wachsende Komplexität und Intelligenz

Um die Unterschiede zu verdeutlichen, hat die Datenwissenschaftlerin ein Schaubild entwickelt, das sie scherzhaft „Fralicks Pyramide“ nennt. Die breite Basis der Pyramide symbolisiert das allgemeine Daten-Management und die Architektur; die „Intelligenz“ beschränkt sich hier auf die traditionellen Datenverarbeitungsfunktionen.

Eine Stufe darüber ist die Statistik angesiedelt, laut Fralick die Basis jedes Analysesystems: „Ohne statistischen Scharfsinn lassen sich die Daten nicht korrekt aufsetzen und interpretieren“, so ihre Überzeugung. Auf dieser Ebene werden Klassifikationen und Modelle gebildet, die unabdingbar für alle Arten selbstlernender Systeme sind: „Für komplexe Bedrohungen wie Ransomware benötigen wir bis zu 50 Modelle“, berichtet sie.

In den Dunstkreis der Maschinenintelligenz treten die Tools und Systeme erst auf der dritten Stufe ein. Hier geht es um das Thema „Machine-Learning“; es lassen sich Muster erkennen und durch Zuwachs von Erfahrung – nach dem „Belohnungsprinzip“ (Fralick) ständig verfeinern. Die „lernenden Maschinen“ beherrschen unter anderen die Disziplinen Bilderkennung und Signalverarbeitung. In diese Produktkategorie gehört beispielsweise das McAfee-Tool „Real Protect“. Wie Fralick erläutert, handelt es sich alles in allem noch um lineare Mathematik, also die Gauß’sche Normalverteilung, auch „Glockenkurve“ genannt.

Noch komplexer wird es auf der vorletzten Stufe, im Bereich des „Deep Learning“. Im Prinzip handelt es sich dabei um die seit Mitte der 80er Jahre bekannten Neuronalen Netze, die aber aufgrund der fortgeschrittenen Prozessortechnik heute viel schneller und präziser arbeiten können als zu ihrer ersten Blütezeit. Wie der Name schon sagt, arbeiten sie nicht mehr linear, sondern dreidimensional vernetzt. So ermöglichen sie es dem Computer, aus unzähligen kleinen Informationsschnipseln – häufig mit Hilfe von Sensordaten gewonnen – einen Kontext zu konstruieren, innerhalb dessen er arbeitet und Entscheidungen fällt; im Fachjargon heißt das „Conceptual Computing“. Fralick ordnet das McAfee-Produkt „Advanced Threat Defence“ hier ein.

Bots buchen alle Plätze auf Konkurrenz-Flügen

Ein Beispiel für die sinnvolle Nutzung solcher Systeme beschrieb Laurent Gil, Architect Security Product Strategy bei Oracle, als er kürzlich die „Web Application Firewall“ des Datenbankriesen vorstellte: Einige Fluglinien haben Bots konstruiert, die, so Gil, für die Dauer der üblichen Reservierungszeit, meist 30 Minuten, alle verfügbaren Plätze eines Konkurrenzflugs belegen. So können die echten Interessenten dort nicht zum Zug kommen und steigen – hoffentlich – auf das eigene Angebot um, das nach dem Gesetz von Angebot und Nachfrage inzwischen auch noch deutlich teurer geworden ist als zuvor.

Eine intelligente Firewall könnte beim Verdacht auf dieses Vorgehen alle Transaktionen unterbrechen beziehungsweise sperren. Damit würde sie zwar die Bots fernhalten, aber auch echte Kunden verprellen. Die Herausforderung besteht nun darin, möglichst schnell zu erkennen, was eine ernsthafte Buchung ist und was ein Bot.

Dazu muss das System wissen, wie sich ein Mensch am Computer verhält. Es greift dafür auf Informationen zurück, die es aus dem Umfeld des (vermeintlichen) Kunden bezieht. Wird am anderen Ende eine Maus oder ein mobiles Telefon bewegt? Gibt es – beim Menschen unvermeidbare – Zeitverzögerungen? Oder werden etwa Links geklickt, die auf dem Bildschirm gar nicht sichtbar sind? Entscheidend sind nicht einzelne Merkmale, sondern deren Korrelation untereinander. Hat das System einen bislang unbekannten Zusammenhang entdeckt, wird es ihn beim nächsten Mal wieder berücksichtigen.

Findet die Firewall hingegen etwas völlig Unbekanntes, gibt sie zurück an Menschen. Wie Gil beteuert, muss sich der Sicherheitsexperte aus Fleisch und Blut dank der neuen Technik aber mit sehr viel weniger unklaren Fällen herumschlagen als früher. Die Anzahl der False Positives gehe dadurch deutlich zurück.

Echte AI kopiert das menschliche Lernen

Den Namen „Künstliche Intelligenz“ verdienen nach Fralicks Ansicht aber nur Systeme, die tatsächlich in der Lage sind, logische Operationen auf den Datenmodellen auszuführen, also „vernünftige“ Schlüsse zu ziehen, quasi werte- oder nutzenbasierende Urteile zu fällen. AI kombiniert Machine Learning und Deep Learning beispielsweise mit der Verarbeitung und dem „Verstehen“ natürlicher Sprache.

AI-Systeme versuchen, grob gesagt, das „kortikale“ Lernen des menschlichen Großhirns zu imitieren. Sie definieren zum Beispiel die zur Urteilsfindung nötigen Abstraktionsebenen nicht von vornherein, sondern erst während des Lernprozesses. (Wer mehr darüber wissen möchte, dem hilft möglicherweise eine an der TU Darmstadt geschriebene Bachelor-Arbeit weiter.) McAfee platziert in diesem Sektor das Produkt „Investigator“. Laut Anbieter kann es nicht nur Abweichungen von den definierten Normabläufen und deren Ursachen in Echtzeit erkennen, sondern genauso schnell Gegenmaßnahmen vorschlagen beziehungsweise einleiten.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45613363 / Recht & Sicherheit)