Anomalieerkennung in Kommunikationsnetzwerken mit Hilfe von Methoden aus der kinetischen Gastheorie

Master-Studiengang Information Security

Dipl.-Ing. Hubert Schölnast, BSc

Betreuer: FH-Prof. Dipl.-Ing. Dr. Paul Tavolato

Ausgangslage

Die kinetische Gastheorie wurde 1872 von Ludwig Boltzmann publiziert. Sie erklärt, wie aus den Eigenschaften vieler kleiner Teile (Atome und Moleküle) Eigenschaften entstehen, welche die Gesamtheit beschreiben (z.B. die Temperatur eines Gases). Dieses Muster ist auf viele andere Disziplinen anwendbar, allerdings wurde bisher noch nie der Versuch unternommen, nach diesem Schema elektronische Kommunikationsnetze zu beschrieben – mit dem Ziel Anomalien im Verhalten des Netzes zu erkennen.

Es liegt aber ein Positionspapier vor, in dem diese Idee grob skizziert wurde. Ein wesentlicher Vorteil der dort umrissenen Methode besteht darin, dass man die Eigenschaften der Gesamtheit allein aus allgemeinen Spezifikationen der Bestandteile ableiten kann, ohne die Bestandteile einzeln untersuchen zu müssen. Das eröffnet die Möglichkeit, Anomalien ohne Lernphase zu erkennen.

Ziel

Es wird versucht, die genannte Methode so weit zu konkretisieren, dass sie auf ein realistisches Kommunikationsnetzwerk angewendet werden kann, das aus mehr als 50.000 Komponenten besteht. Eine Interaktionsmatrix soll für die drei wichtigsten Anwendungsfälle dieses Netzwerkes ausgearbeitet werden, um eine komplette Beschreibung des Normalverhaltens dieses Netzwerkes zu erhalten. Verhalten, das nicht mit dieser Beschreibung in Einklang ist, kann dann als Anomalie angesehen werden.

Ergebnis

Es ist gelungen, für die gewählten Use-Cases eine vollständige Beschreibung der Interaktionsmatrix herzustellen. Damit liegt zumindest in der Theorie ein mächtiges Werkzeug vor, das einen einfachen und zuverlässigen booleschen Wert als emergente Eigenschaft des gesamten Netzwerkes hervorbringen könnte. Dieser Wert würde anzeigen, ob das Verhalten des Netzes normal oder außerhalb der Norm ist.

In der Praxis ist es dazu aber leider notwendig, jede einzelne Komponente im Netzwerk zu überwachen, was aber ausdrücklich vermieden werden soll. Stattdessen konnte ein zentraler Punkt im Netzwerk identifiziert werden, an dem verwertbare Daten anfallen. Da der zuvor beschriebene boolesche Wert dort aber leider nicht zuverlässig ermittelt werden kann, wurde eine andere emergente Eigenschaft gesucht und in im Rahmen dieser Diplomarbeit auch gefunden: Es konnte gezeigt werden, dass die Kullback-Leibler-Divergenz in der Lage sein könnte, diesen booleschen Wert zu ersetzen.

Ausblick

Die in der Diplomarbeit gewonnen Kenntnisse fließen in das Forschungsprojekt „Energy Network Security“ ein, wo an an einem ausreichend realistischen Beispiel die Praxistauglichkeit der vorgeschlagenen Methode überprüft werden kann.