Unser wissenschaftlicher Mitarbeiter Robin Buchta hatte die Gelegenheit, unsere aktuellen Ergebnisse im Bereich Anomalieerkennung auf der NOMS 2025 vorzustellen.

R. Buchta, K. Dangendorf, C. Kleiner, F. Heine and G. D. Rodosek, “FUDD: Threat Hunting Framework Utilizing Graph-Based Anomaly Detection on Log Data”, NOMS 2025-2025 IEEE Network Operations and Management Symposium, Honolulu, HI, USA, 2025, pp. 1-7, doi: 10.1109/NOMS57970.2025.11073579.

Worum geht’s in der Arbeit?

IT-Systeme sind ständig potenziellen Angriffen ausgesetzt – besonders Advanced Persistent Threats (APT) sind schwer zu erkennen. Klassische Methoden kommen hier oft an ihre Grenzen.

Ein möglicher Ansatz ist das sogenannte Threat Hunting (TH). Dabei gehen Analyst:innen aktiv auf die Suche nach Hinweisen auf Angriffe, basierend auf eigenen Hypothesen. Das kann aber aufwändig und zeitintensiv sein.
Auch Anomalieerkennung kann helfen – sie erkennt ungewöhnliches Verhalten automatisch, hat aber häufig viele Fehlalarme (False Positives).

Unser Ansatz kombiniert beides:
Wir haben ein Framework namens FUDD entwickelt, das graphbasierte Anomalieerkennung nutzt, um Threat Hunting effizienter zu machen.

Was macht FUDD?

FUDD analysiert Protokolldaten und liefert einen Anomaliebericht, der auffälliges Verhalten sichtbar macht – passend zur jeweiligen Hypothese. So können Analyst:innen schneller einschätzen, ob sich ein Verdacht bestätigt oder ob neue, gezieltere Hypothesen abgeleitet werden können.

Wie gut funktioniert das?

Wir haben FUDD mit zwei Datensätzen aus dem DARPA Transparent Computing-Projekt getestet. Dabei zeigte sich:
Die Top-K-Anomalien im Bericht helfen, Angriffe auch auf Basis sehr allgemeiner Annahmen zu erkennen. Außerdem deckt FUDD weiteres ungewöhnliches Verhalten im System auf – ein Plus für die allgemeine Sicherheit.