PROTECT - Sicherer Netzbetrieb durch Einsatz selbstlernender KI-Firewalls in Energieversorgungsunternehmen

Gesamtabschlussbericht

Thumbnail Image

Files

PROTECT_Abschlussbericht_final.pdf (4.86 MB)

Date

2025

Authors

Editor

Advisor

Volume

Issue

Journal

Series Titel

Book Title

Publisher

Hannover : Technische Informationsbibliothek

Supplementary Material

Other Versions

Link to publishers' Version

Abstract

In PROTECT wurde ein Lern- und Testsystem zur Entwicklung einer selbstlernenden KI-Firewall für Energieversorgungsunternehmen (EVU) entwickelt und an der Infrastruktur eines Betreibers kritischer Infrastrukturen erprobt mit dem Fokus der KI-gestützten Anomalieerkennung zur Abwehr von IT-Angriffen in Geschäfts-IT (CIT) und Operative Technologie (OT). Als Trainingsgrundlage wurden Netzwerk- und Prozessdaten mittels einer Echtzeit-Co-Simulation generiert. Mit Hilfe von Explainable AI (XAI) wurden relevante Indikatoren abgeleitet, die die Nachvollziehbarkeit der Angriffserkennung erhöhen. Die selbstlernende KI-Firewall soll die IT-Sicherheit verbessern und als Schulungsplattform für Mitarbeiter und auf verschiedene IT-Infrastrukturen übertragbar sein. Die wesentlichen Ergebnisse des PROTECT Projektes sind die Entwicklung eines Gesamtkonzepts für selbstlernende KI-Firewalls in EVU, eine Plattform zur Modellierung und Simulation des Netzwerkverkehrs in der IT und OT sowie die Integration einer KI-basierten Anomalieerkennung. Durch container-basierte Netzwerksimulationen konnten realistische Bedrohungen abgebildet und Netzwerk- sowie Prozessdaten für das Training der KI-Modelle aufgezeichnet werden. Eine agentenbasierte Netzwerksimulation wurde implementiert, um typische Angriffsmethoden zu simulieren, basierend auf historischen APT-Angriffen und der MITRE ATT&CK-Matrix. Die entwickelten KI-Modelle erreichten eine hohe Genauigkeit, zum Teil mit Erkennungsraten von 99,99 % bei einer Falsch-Positiv-Rate von 0,00 %. Zudem wurde eine unüberwachte Angriffserkennung auf Paket- und Flow-Ebene realisiert, die ein F1-Maß von ca. 99 % erreichte. Ein Experten-Interface wurde auf einer modularen KI-Plattform entwickelt, um Übersichten zu Flows und Angriffswahrscheinlichkeiten bereitzustellen. Die Demonstration der KI-Lösung in einem isolierten Testsystem zeigte, dass der Explainability-Ansatz von Security-Experten als wertvolles Werkzeug für forensische Auswertungen angesehen wird.

Description

Keywords

Angriffssimulation, Angriffserkennung, XAI, Cybersecurity, Energieversorger

Keywords GND

Conference

Publication Type

Report

Version

publishedVersion

URI

https://oa.tib.eu/renate/handle/123456789/19115
 https://doi.org/10.34657/18132

Collections

Forschungsberichte Pflichtabgabe (BMFTR, BMWE…)

License

Creative Commons Attribution-NonDerivs 3.0 Germany
https://creativecommons.org/licenses/by-nd/3.0/de/