Das Schweizer KI-Labor IDSIA betreibt Grundlagenforschung mit Sicherheitsüberwachungsdaten von SWITCH-CERT. Sandra Mitrović vom IDSIA und Jakob Dhondt von SWITCH-CERT sprechen in diesem SWITCH Innovation Lab über ihre Kooperation.
Sandra Mitrović: Mit maschinellem Lernen können wir einen Schritt vorwärtsgehen und eine mögliche Zukunft modellieren. Es fasziniert mich, das nicht so Offensichtliche zu entdecken und Aspekte zukünftiger Ereignisse vorherzusagen. Für meine Doktorarbeit habe ich zum Beispiel das Kundenverhalten modelliert, um zu berechnen, welche Kunden auf der Grundlage ihrer Kundenerfahrungen ihre Verträge kündigen werden.
SM: Aktuellen Studien zufolge besteht durchaus ein grosses Potenzial für die Anwendung dieser Methoden auf Sicherheitsdaten. Natürlich hängt das stark von den jeweiligen Daten ab, aber es geht auch darum, die richtigen Fragen zu stellen. Deshalb sind Kooperationen wie mit SWITCH-CERT so wichtig. Als KI-Forscher wissen wir, wie man mit Daten umgeht, wie man Modelle erstellt und trainiert. Was wir aber nicht unbedingt wissen: Welche Erkenntnisse eignen sich für den Bereich, in dem wir modellieren?
JD: In unserem Team sind wir täglich mit einer Flut von verschiedenen Sicherheitsdaten konfrontiert. Dabei haben wir Zugriff auf Daten, die von lokalen Ereignissen in unserem Bildungs- und Forschungsnetzwerk SWITCHlan bis zu globalen Daten der Registrierungsstelle für die CH-Domain reichen, die wir über unser internationales CERT-Partnernetz erhalten.
Im SWITCH Innovation Lab möchten wir neue Möglichkeiten und Ansätze für die Arbeit mit unseren Daten erkunden. Deshalb arbeiten wir mit KI-Experten zusammen, um auch diese wichtige Perspektive auf die Daten abzudecken.
SM: Ich bin keine Sicherheitsexpertin, daher kann ich mich hier nur vage äussern, aber es scheint tatsächlich viele verborgene Chancen zu geben. Sehr hilfreich ist natürlich die grosse Datenmenge (die Sicherheitsreports, an denen wir gerade arbeiten, umfassen sieben Millionen Ereignisprotokolle). Aus KI- bzw. ML-Perspektive ist das wichtig: Je grösser und vielseitiger die Daten, desto höher die Wahrscheinlichkeit, das bessere Modell zu erhalten.
JD: Wir haben uns mit IDSIA verschiedene Datensätze angeschaut und ihr Potenzial diskutiert. Gemeinsam haben wir uns für die Sicherheitsreports entschieden, da diese Daten hinsichtlich ihrer Grösse und den möglichen Anwendungsfällen ideal sind.
JD: Wir interessieren uns vor allem für prädiktive Anwendungsfälle. Zum Beispiel wäre es nützlich, bestimmte Muster erkennen zu können, bevor ein Host kompromittiert wird. Diese Muster könnten wir dann mit allen Hosts unserer Kunden abgleichen, um im Idealfall einen Angriff automatisch vorhersagen und verhindern zu können.
Ein solches konkretes Ergebnis liegt uns noch nicht vor. Aber die Zusammenarbeit mit dem IDSIA ist für uns sehr hilfreich, vor allem was die Bewertung der Fülle und des Potenzials unserer Daten aus Sicht des maschinellen Lernens betrifft.
SM: Unsere Zusammenarbeit würde ich als einen schnellen und reibungslosen Prozess beschreiben. Wir konnten direkt mit der Analyse der Daten starten, und in dieser Phase haben wir in der Regel eine Menge Fragen zur tatsächlichen Bedeutung der Daten. Wir hatten viele interessante Diskussionen mit Jakob und dem CERT-Team, bei denen wir uns gemeinsam die Muster und die Ergebnisse unserer Modellierung angeschaut haben.
JD: Um ein verwertbares Ergebnis zu erhalten, muss das zu lösende Problem bzw. der gewünschte Anwendungsfall so klein und präzise wie möglich sein. Ich denke, wir haben viel darüber gelernt, wie wir in diesem Bereich zusammenarbeiten können. Das ist sehr wertvoll. Auch wenn wir jetzt nicht an einem konkreten Produkt oder Service arbeiten, könnte es einen Anwendungsfall geben, den wir in der Zukunft mit dem IDSIA weiter untersuchen möchten.