GLACIER-Konsortialtreffen zeigte in Bremen erstmals neuen Ansatz zur intelligenten Anomalie-Erkennung
Am 19. Februar trafen sich die Konsortialpartner des Forschungsprojekts GLACIER (www.glacier-project.de), um sich über die laufenden Entwicklungsarbeiten auszutauschen. Dabei stand die zukünftige Planung im Vordergrund und nicht das bisher erreichte. Das BMBF-Projekt mit einer Laufzeit von 2,5 Jahren geht jetzt in die Feinentwicklung, was entsprechend abgestimmt werden musste. Dabei ließ sich bei allen Partnern ein guter Fortschritt attestieren. Besonders die Hochschule Hannover machte auf sich durch die Entwicklung eines Anomalie-Algorithmus aufmerksam. Aber auch die GLACIER-Architektur ist dabei immer mehr Fortschritte zu machen.
Die Konzeptionsphase wurde nun endgültig verlassen, so dass sich jeder Partner auf die Entwicklung konzentrieren kann. Zum Start der gemeinsamen Entwicklung wurde im Januar ein Docker-Workshop durchgeführt, der bei allen Beteiligten sehr gut ankam. Erste echte Daten konnten parallel bei einem Testdurchlauf beim assoziierten Partner hanseWasser von der DECOIT® GmbH gesammelt werden, die nun ebenfalls für die weitere Entwicklung gut genutzt werden können. So lassen sich auch nachträglich Untersuchungen und Analysen mit dieser Datenbasis durchführen, um so Rückschlüsse auf die Effektivität der Anomalie-Erkennung treffen zu können.
Auf dem Konsortialtreffen stellte die DECOIT® GmbH daher erst einmal ihre Analyse-Ergebnisse des hanseWasser-Tests vor. Hieran war interessant, welche Datenmengen gesammelt wurden und wie sich das auf die Datenbankgröße und Performance auswirkt. Auch das Erkennen von Vorfällen war wichtig und wurde einer Bewertung unterzogen. Ein kommender Workshop bei hanseWasser soll die Analyse-Ergebnisse im März noch einmal genauer auf den Punkt bringen. Der Partner rt-solutions stellte hingegen seine aktuelle Laborumgebung vor. Aktuell sind hier 60 Mio. Events der Firewall bzgl. der Zugriffe auf den Honeypot abgelegt worden. Eine Modellumgebung soll später für Hacking-Tests bereitgestellt werden. Auch die Partner sollen davon profizieren und entsprechende Zugänge bekommen.
Die Hochschule Hannover zeigte hingegen ihren ersten Ansatz zur Anomalie-Erkennung, der auf sog. Cubes basiert. Die Grundidee ist dabei, dass Angriffe in besonders gefilterten und aggregierten Datenbasen besser zu erkennen sind. Cubes stellen daher eine passende Datenstruktur dar, um solche aggregierten Daten besser beschreiben zu können. Aus der Historie heraus soll damit ein Normalverhalten definiert werden können, welches als statistisches Modell gespeichert wird, um daraus einen Anomalie-Score errechnen zu können. Ein erster kleiner Prototyp anhand der Untersuchung eines Heimarbeitsplatzes konnte bereits gezeigt werden, der eine interessante Analyse der verwendeten Geräte erlaubte.
Zusammenfassend war das bereits vierte Konsortialtreffen im GLACIER-Projekt sehr konstruktiv. Bisher ist man sehr gut im Zeitplan und konnte auch die Entwicklung zeitnah starten. Insbesondere an der Anomalie-Erkennung wird sich das Projekt später allerdings messen lassen müssen. Die bisherigen Ansätze sind dabei bereits vielversprechend.