Anwendungen Maschinellen Lernens: Projekte &
Abschlussarbeiten
Stefan Edelkamp
Projekte (Auswahl)
iMonitor: intelligentes IT- Monitoring durch KI-
Ereignisverarbeitung http://www.imonitor-proj ect.de/startseite/welcom e.html
The specific and ultimate goal of the REMPARK
project is to develop a Personal Health System for management of
Parkinson's Disease http://www.rempark.eu/
The main project objective behind FLOURplus is to exploit the full baking potential of flour in the baking process. The bakery production process can be
fully adapted to the varying natural flour properties
Abschlussarbeiten (Auswahl)
● Zhihao Tang. Monte-Carlo Search for Multiple Sequence Alignment. (Supervisor, Reviewer: Stefan Kurtz), 2015
● Paul Wichern. Solution of Packing Problems in Additive Manufacturing. (Supervisor, Reviewer:
Gabriel Zachmann), 2014.
● Simon Frerichs. Choice, Evaluation and
Implementation of an Suitable Algorithm on Netflow Data for Defending Distributed-Denial-of-Service- Attacks. (Reviewer, Supervisor Carsten Bormann), 2014.
● Christoph Greulich. Agent-based Intermodal Navigation in Dynamic Environments. (Supervisor, Reviewer: Klaus-Dieter Thoben), 2013.
● Dominik Elsbroek. Monitoring Network Traffic With IPFIX to Detect Well-Known IPv6 Attacks.
(Reviewer, Supervision: Carsten Bormann), 2012.
● Marten Wirsik. Statistical Pattern Matching and Machine Learning for Analyzing Computer Networks (Reviewer, Supervision: Carsten Bormann), 2012.
● David Zastrau. Accelerated Machine Learning
Algorithms on the GPU (Supervisor, Reviewer: Lutz Frommberger), 2011.
● Ali Shabani. Improved Inference of Street Maps on Basis of Open-Street-Map Raw Data (Supervisor, Reviewer: Gerrit Kalkbrenner), 2010.
● Cengizhan Yücel. Solving One- and Two-Player Games on the Graphics Card with Perfect Hash Functions (Supervisor, Reviewer: Jan Vahrenhold), 2010.
● Mark Kellershoff. Abstraction & Planning for Program Model Checking (addtitional Reviewer:
Bernhard Steffen), 2008.
● Damian Sulewski. Parallel Software Model
Checking in StEAM (Supervisor, Reviewer: Bernhard Steffen), 2007.
● Björn Borowsky. Optimal Metric Planning with Presburger Automata (Supervisor, Reviewer:
Thomas Schwentick), 2007.
● Kenneth Kahl. Machine Learning Algorithms for the Strategic Game Hex (Supervisor, Reviewer: Lars
Abschlussarbeiten (tbc)
Kai Hillman. Darstellung und Analyse eines Konzeptes zur digitalen Beweissicherung (BA)
Philipp Nguyen. NFC-Sicherheitanalyse mit Smartphones -- Sicherheitsanalyse von Android-Applikationen mit NFC-Funktionalität (BA)
Axel Auffarth. Modeling of Security Aspects in Software Architectures (MA) Timo Reimerdes. Sicherheit und Privatsphähre in Sozialen Netzwerken (DA)
Markus Gulmann. Sicherheitsanalyse ausgewählter Systemservices des mobilen Betriebssystems Android, (BA)
Aleksej Michalik: Einsatz neuronaler Netze zur Erkennung von Schadsoftware (BA) Bastian Breit. Sicherheitsaspekte von Android und mobilen Verkaufsportale (DA) Dimitri Hellmann. Angriffsszenarien ausgehend von Android-Anwendungen (DA) Bernd Samieske. Entwicklung eines erweiterbaren onologiebasierten Asset-
Management (DA)
Stefan Klement: Security Aspects of the Google Android Platform (DA)
Abschlussarbeit: Gestenerkennung (Daniel Kohlsdorf)
●
TZI-Absolvent erhält Contact Förderpreis für Abschlussarbeit
●
Er entwickelte ein Verfahren, das die
Erkennung von Gesten in der Mensch-Computer-
Interaktion, wie
beispielsweise bei einer
Wii, verbessert, und dieses auch international
publiziert. Der Preis ist mit
●
Für seine Promotion ist
Kohlsdorf an die renommierte Georgia Tech. zum Wearable Computing Pionier Thad
Starner gegangen
●
Der hoffnungsvolle
Nachwuchswissenschaftler aus der Arbeitsgruppe
Künstliche Intelligenz kam
bereits während des Studium auf wissenschaftliche
Veröffentlichungen.
Gesture Recognition
●
Shake-to-Shuffle vs. Walking
●
Touchpad vs. Mouse
Symbolic Aggregate approXimation
(SAX)
IiSAX: Indexing and Mining Terabyte Sized Time Series, by Shieh & Keogh
http://www.cs.ucr.edu/~eamonn/iSAX/iSAX.html
MA Zhihao Tang: MCTS4MSA
●
TSPTW, PDP, VRP
●PTSP
●
Container Packing
●
Inspection
●
AGCT−TG
●
A−CTCG−
MSA
Optimal MSA: Let A be the set of all MSAs that can be generated by a set of sequences S = {s
1,…, s
n}. The
optimal MSA O for S wrt. evaluation F is an alignm. with
(Pair) Alignment
Evaluation Functions
Pairwise Sum
F(A) = F(a 1 ,...,a n ) =
∑ 0<i<n ∑ i<j<n+1 F(a i ,a j ).
General Scores
Affine Gap Costs
Opening + |Gap|*Extension
MSA Search Tree
●
Hirschberg's Algor.
●
Dynamic
Programming
●
IDDP
●
Frontier Search
●
External Search
●
Partial Expansion
MCTS 4 1P
Nested Monte Carlo Search (Cazenave)
Algorithm (~UCT) defined in terms of
Nested Rollout Policy Adaptation (Rosin)
Algorithm defined in
terms of Adapt and
Beam NRPA(level,policy)
if level = 0 then
seq := Rollout(policy)
return (eval(seq),seq,policy) Beam := (inf,{},policy)
for N iterations do newBeam := {}
for all (v,s,p) in Beam do insert (v,s,p) in newBeam
tempBeam := BeamNRPA(level-1,p) for all (v',s',p') in tempBeam do
p' := Adapt(p,s') B B
N
(v,s,p)
Learning Curve 1ped
Posterior Optimization
Aktuelle Masterarbeit
●
Fritz Jacob: Ereignis-basierte Analyse von Mediendateien mit Methoden des
maschinellen Lernens
Ereignisszeitreihe
Scoring
Fingerprints
Akzeptierte Fälle
Aktuellste Arbeit
(Motivation KIVA, GCom)
●
Denis Golubev:
Effiziente
Bewegungsplanung für ein und mehrere Agenten
●
https://www.youtube.c
om/channel/UCHhXrh
MGNOrXDR2MG_eh
wWA
Aktuelle Dissertation
●
Claas Ahlrich:
Development and Evaluation of AI-
based Parkinson’s Disease Related Motor Symptom
Detection Algorithms
[Extra Folien]
Grundlage iMonitor
(Dissertation Carsten Elfers)
Die Angriffserkennung in Datenströmen und liegt im Schnittfeld von Forschungen in den
Disziplinen Rechnernetze und Künstliche
Intelligenz. Dabei werden Ereignismeldungen von mehreren Programmen zur Datenstromanalyse, den sogenannten Sensoren, intelligent korreliert, Hypothesen gebildet und Gefahrenspotentiale
aufgezeigt.
Alleinstellungsmerkmal iMonitor
Das Alleinstellungsmerkmal ist die tolerante
Mustererkennung bei der Analyse der Ereignisse.
Dabei wird taxonomisches Hintergrundwissen z.B. über die Struktur von Angriffstypen zur
Definition von Ähnlichkeitsbeziehungen
herangezogen, um aus exemplarisch als Angriff vorab erkannten und nach Signifikanz und
Gefährlichkeit eingestuften Ereignissen, verwandte
Ergeignisse abzuleiten und Hypothesen über zum
Teil mehrstufige Angriffe abzuleiten.
Hintergrundwissen
Das Hintergrundwissen ist als Ontologie abgelegt und wird über eine Schnittstellensprache SPARQL (in
Anlehnung an die Datenbankabfragesprache SQL) vom Lernverfahren in seinem Schlussfolgerungsmechanismus mehrfach angefragt. CRFs fallen in die Klasse
graphischer (probabilisitschen) Modelle mit gerichteten Abhängigkeitsgraphen,
Die Einbeziehung von Hintergrundwissen ist zentral, da
die Information über Angriffe punktuell ist und über ein in
der Taxonomie verankertes Ähnlichkeitsmaß auf
ML
Als maschinelles Lernverfahren wurden vorab
Conditional Random Fields (CRFs), eine Teilklasse
graphischer (probabilistischer) Modelle, eingesetzt und mit der obige Expressivität angereichert. Man kann sich die exponentiellen Modelle als temporal erweiterete
Hidden Markov Modelle vorstellen, die einen Schluss über zeitlich weiter entfernte Evidenzen ermöglichen.
In iMonitor wurde aus Effizienzgründen auf
probabilistischen Schluss verzichtet und ein schlankere
Analyse für den toleranten Regelschluss implementiert
(→ Carsten Elfers, Neusta)
FIDES - Projektziele
• Erweiterung von SIEM um intelligente Korrelationsverfahren
– Qualität der Algorithmen
– Anreicherung des strukturierten Wissens
• Überwachung und Zusammenführung verschiedener Datenquellen (wie z.B. Snort/IDS, Firewall-Logs, Honeypots, …)
• Frühwarnung – Erkennung von Angriffen nach ersten Angriffsschritten
• Assistenz
Mehrwert
Korrelationsar- chitektur
●
Mehrere Datenquellen
• Redundanzen berücksichtigen
• Semantische Normalisierung
●
Assistenz
• Angriffs-Modellierung anhand von normalisierten Eventströmen
●
Intelligente Korrelation
• Variationen von Angriffen über semantische Verwandtschaft detektieren
●
Reduktion der Ereignisse auf die
Wesentlichen
Architektur
Wissensbasis
Vorverarbeitung
= snort
= 192.168.0.11
= 192.168.0.12
= ET EXPLOIT MS04-007
Aufarbeitung
Abgleich
– Matching von vordefinierten
(und abstrakten)
Mustern
Beispiel eines Musters
IF
(Classification sameAs
AttemptedKnowledgeGainClassi fication)
AND
(Source-IP part-of
InternalAddressRange) AND
NOT
(Source-IP is-a AdministratorPC)
Musterabstraktion
Signatur/Muster:
IF Classification =
AttemptedAdminClassificat ion …
Einkommendes Ereignis Classification =
AttemptedUserClassificatio n …
Abstraktion
-> Signatur trifft Muster
besser
Hypothesen-Pool
• Analysiere
Permutationen der Ereignis
• „Survival of the fittest“
Hypothesen
• Fitness = W‘keit von normalen Verhalten
gegenüber
Interpretation
• Conditional Random Field bestimmt W‘keit eines Angriffs
• Nutze Beispiele, um
die Zuverlässigkeit
der Sensoren Muster
zu trainieren.
fides und herkömmliche SIEM- Systeme
●
Ontologische Schlüsse
• Breites Spektrum des modellierbaren Wissens
●
Abstraktion der Regeln
• Für jedes Event gibt es immer eine Bewertung
●
Probabilistische Inferenz
• Liste der wahrscheinlichsten Hypothesen
• Verwendung der Inferenz-
ergebnisse auch in den Regeln
• Lernfähigkeit ermöglicht eine einfache Adaption an die
●
Keine Ontologie
• Wissen ist statisch und Anwendungsabhängig
●
Statische Regelmenge
• Regeln werden nicht
abstrahiert sondern nur auf exakte Erfüllung geprüft
●
Statische Inferenz
• Keine wahrscheinlichen
Angriffe, sondern nur „Regel- matches“
• Adaption nur durch
fides - Annotationswerkzeug
fides - Dashboard
Ausblick Leitwarte - Industrie
4.0
Anomalieerkennung (Malte Humann)
Viele Systeme, die heutzutage eingesetzt werden, arbeiten mit Signaturanalyse, da die
Anomalieerkennung mit Schwellwertanalyse von praktischer Einsetzbarkeit noch weit entfernt war.
Manchmal gab es eine Mischform bei der Methoden, die schwellwertgesteuerte
Signaturanalyse, eingesetzt.
Ziele der Zeitreihenanalyse
●
kompakte Beschreibung einer historischen Zeitreihe
●
Vorhersage von künftigen Zeitreihenwerten (Prognose) auf der Basis der Kenntnis ihrer bisherigen Werte
●
Erkennung von Veränderungen in Zeitreihen (Monitoring in der Medizin bei chirurgischen Eingriffen, Veränderung der globalen
Vegetationsphänologie durch anthropogene Klimaänderungen)
●
Eliminierung von seriellen oder saisonalen
Abhängigkeiten oder Trends in Zeitreihen
Beispiel: ausgehender Traffic
ETS (Error, Trend, Seasonal) ohne
Muster (R)
Muster finden: Power Spectral
Density Estimation
Seasonal-Trend Decomposition
Procedure Based on Loess (STL)
Ohne Trend und Ausreißer
Muster finden: PSDE ohne Trend
und Ausreißer
Aberrant Behavior Detection
(RRDtool)
Holt-Winters (R) mit Muster
Holt-Winters (R) mit Muster +
Ausreißer entfernt
Trend + durchschnittliches Muster
Trend + durchschnittliches Muster
Beispiel: CPU Auslastung
Holt-Winters (R) mit Muster
Add-On: String-Matching Algorithmen
/home/edelkamp/iMonitor-files/strings/aho- corasick
/home/edelkamp/iMonitor-files/strings/bdds /home/edelkamp/iMonitor-files/strings/huffman
/home/edelkamp/iMonitor-files/strings/msa
/home/edelkamp/iMonitor-files/strings/mst
Zeichenkettenanalyse für Zeitreihen
●
Editierdistanz
●
Mehrfachsequenz-Alignierung
●
Approximative Zeichenkettensuche
●
Bellmann-Ford Algorithmus
●
Wertiteration
●
Das Optimalitätsprinzip nach Bellmann
Wissenschaftliche Verwertung
●
Carsten Elfers Dissertation
Event Correlation Using Conditional Exponential Models with Tolerant Pattern Matching Applied to Incident Detection
●
Papiere
●
KaiOliver Detken, Carsten Elfers, Marcel Jahnke, and Malte Humann, Stefan Edelkamp. Intelligentes Monitoring der IT Sicherheit durch den Einsatz von SIEM. Conference on
Security (DACH), Sankt Augustin, 2015.
●
KaiOliver Detken, Stefan Edelkamp, Carsten Elfers, Malte
Humann, Thomas Rix. Intelligent monitoring with background
knowledge. IEEE International Conference on Intelligent Data
Acquisition and Advanced Computing Systems: Technology and
Applications (IDAACS). Warsaw, 2015.
Draft
●
Parameter-Free Time Series Analysis with
Application to Anomaly Detection in Computer Networks
Malte Human, Stefan Edelkamp
TZI, Bremen, Germany
Nachbereitung
●
Auswertung der Analyse auf Benchmark und TZI-Daten
●
Java-Implementierung
●
Anbindung der Zeitreihenanalyse an das iMonitor Werkzeug
●
Auswertung erfolgreich
●
Video beschreibt funktionierdes Tool
●
Anträge: ZIM 2, KMU innovativ
●
Vorlage: “Leitwarte”, Partner: HanseWasser
Big Data Analytics
●
Riesiges Forschungsfeld
●
Forensik großer Datenmengen
●
Automatische Wissensakquisation
●
Ontologische Datenbanken
●
Semantic Full Text Search (a la Brokkoli)
●
Datenstrukturen: Sax/iSax
Rel. Work Planning 4 Penetration Testing
Fazit
●
Intensive Zusammenarbeit mit den Firmen großer Gewinn.
●
ZIM für universitäre Prozesse aufwändig (Stundenzettel, keine Reisemittel)
●
Hoffen auf Zusammenarbeit mit HanseWasser und Stadtwerke Essen
●
Resultat: Funktionierendes Tool, siehe Video
●
Lightweight-”FIDES”; breitere Sensoranbindung und schlankerer Oberfläche.
●
Wissenstransfer: Malte Humann ist Mitarbeiter bei DekoIT
●