Anomaly Detection and Early Warning System
ADEWaS ist ein Projekt der Deutschen Telekom Laboratories zur Entwicklung eines Frühwarnsystems, das Angriffe und Ausfälle im Kontext von Telekommunikationsdienste und -infrastrukturen schnellstmöglich erkennen kann. Telekommunikationsdienste, Anwendungen und Infrastrukturelemente erzeugen große Mengen an Daten, Anomalien in diesen Daten sind Hinweise auf unerwünschte Situationen. Rechtzeitige Erkennung und Analyse dieser Anomalien unterstützen bei der Erkennung von Angriffen, technischen Versagen und Missbrauchsversuchen.
Das DAI-Labor realisiert in diesem Projekt ein Multiagenten System (MAS), das Anomalien erkennt und frühzeitig Warnungen erzeugt.
Das ADEWaS MAS hat die folgenden Hauptaufgaben:
- Sammlung von Daten aus verschiedenen Quellen, z.B. Server Log-Dateien, Intrusion Detection Systemen und Transaktionssystemen.
- Überführung der verschiedenen Datenformate in ein einheitliches Format.
- Bereitstellung von semantischen Beschreibungen für das System, Date und Erkennungsergebnisse.
- Daten an Anomalieerkennungsverfahren übergeben.
- Visualisierung von Detektionsergebnissen, Erzeugung von Warnungen und Realisierung von Alarmierungs- und Notifikationsmechanismen.
Das ADEWaS MAS ist konzipiert, mit einer Vielzahl unterschiedlicher Anomalieerkennungsverfahren zusammenzuarbeiten. Diese Verfahren werden von den Projektpartnern Ben-Gurion University of the Negev und Deutsches Forschungszentrum für Künstliche Intelligenz realisiert. Bei den Verfahren handelt es sich um statistische Verfahren, unüberwachte und überwachte Lernverfahren.
Der im Projekt ADEWaS entwickelte Ansatz enthält eine Reihe unterschiedlicher Kategorien von Agenten. Die Data Acquisition (Datensammlung) Agenten sind verteilt in einem Netzwerk, repräsentieren Datenquellen und stellen rohe Daten den Data Processing (Datenverarbeitung) Agenten zur Verfügung. Diese Agenten haben verschiedene Aufgaben, beispielsweise die Annotation von Rohdaten, die Übersetzung in ein gemeinsames Format und die Bereitstellung von Daten an Agenten, die Anomalieerkennungsverfahren beherrschen. Diese Agenten gehören zur Kategorie Data Exploitation (Datenauswertung) und erzeugen Erkennungsergebnisse, die Benutzern präsentiert werden und von diesen überprüft werden können.