Multimodale Datenfusion zur Klassifikation von Angriffsphasen in Advanced Persistent Threat Attacken

Kurzfassung

Die vorliegende Arbeit untersucht den Einsatz multimodaler Fusion von Informationen aus Netz-werkaufzeichnungen und Host-Log-Nachrichten zur verbesserten Klassifikation von Netzwerk-Flows vor dem Hintergrund zunehmender Bedrohungen durch Advanced Persistent Threats (APTs) und aktueller moderner Natural-Language-Processing-Modelle. Im Rahmen der Untersuchung werden verschiedene Fusionsansätze evaluiert, die sowohl statistische Merkmale von Netzwerk-Flows als auch unterschiedliche Repräsentationen von Log-Nachrichten einbeziehen. Für die Textdaten werden dabei moderne kontextualisierte Embeddings sowie TF-IDF skalierte Bag-of-Words-Embeddings systematisch miteinander verglichen. Auf Basis der verfügbaren Datensätze wird eine Trainingspipeline entwickelt, die eine effiziente Optimierung der Modellparameter sowie eine reproduzierbare Evaluierung sicherstellt. Die Ergebnisse werden zudem nach APT-Angriffsphasen aufgeschlüsselt und zeigen, dass multimodale Fusion abhängig von den Modellen und der Fusionsmethode bei der Erkennung von Aktivitäten in bestimmten Phasen der Angriffe einen Vorteil gegenüber unimodalen Ansätzen bietet. Die Arbeit demonstriert damit, wie durch den kombinierten Einsatz moderner Embedding-Verfahren und multimodaler Modellierungsstrategien heterogene sicherheitsrelevante Daten effektiv für die Erkennung von APT-Angriffen genutzt werden können.