PROTECT - Sicherer Netzbetrieb durch Einsatz selbstlernender KI-Firewalls in Energieversorgungsunternehmen

Thumbnail Image
Files
PROTECT_Abschlussbericht_final.pdf(4.86 MB)
Date
2025
Authors
Volume
Issue
Journal
Series Titel
Book Title
Publisher
Hannover : Technische Informationsbibliothek
Link to publishers version
Abstract

In PROTECT wurde ein Lern- und Testsystem zur Entwicklung einer selbstlernenden KI-Firewall für Energieversorgungsunternehmen (EVU) entwickelt und an der Infrastruktur eines Betreibers kritischer Infrastrukturen erprobt mit dem Fokus der KI-gestützten Anomalieerkennung zur Abwehr von IT-Angriffen in Geschäfts-IT (CIT) und Operative Technologie (OT). Als Trainingsgrundlage wurden Netzwerk- und Prozessdaten mittels einer Echtzeit-Co-Simulation generiert. Mit Hilfe von Explainable AI (XAI) wurden relevante Indikatoren abgeleitet, die die Nachvollziehbarkeit der Angriffserkennung erhöhen. Die selbstlernende KI-Firewall soll die IT-Sicherheit verbessern und als Schulungsplattform für Mitarbeiter und auf verschiedene IT-Infrastrukturen übertragbar sein. Die wesentlichen Ergebnisse des PROTECT Projektes sind die Entwicklung eines Gesamtkonzepts für selbstlernende KI-Firewalls in EVU, eine Plattform zur Modellierung und Simulation des Netzwerkverkehrs in der IT und OT sowie die Integration einer KI-basierten Anomalieerkennung. Durch container-basierte Netzwerksimulationen konnten realistische Bedrohungen abgebildet und Netzwerk- sowie Prozessdaten für das Training der KI-Modelle aufgezeichnet werden. Eine agentenbasierte Netzwerksimulation wurde implementiert, um typische Angriffsmethoden zu simulieren, basierend auf historischen APT-Angriffen und der MITRE ATT&CK-Matrix. Die entwickelten KI-Modelle erreichten eine hohe Genauigkeit, zum Teil mit Erkennungsraten von 99,99 % bei einer Falsch-Positiv-Rate von 0,00 %. Zudem wurde eine unüberwachte Angriffserkennung auf Paket- und Flow-Ebene realisiert, die ein F1-Maß von ca. 99 % erreichte. Ein Experten-Interface wurde auf einer modularen KI-Plattform entwickelt, um Übersichten zu Flows und Angriffswahrscheinlichkeiten bereitzustellen. Die Demonstration der KI-Lösung in einem isolierten Testsystem zeigte, dass der Explainability-Ansatz von Security-Experten als wertvolles Werkzeug für forensische Auswertungen angesehen wird.

Description
Keywords
URI
https://oa.tib.eu/renate/handle/123456789/19115
 https://doi.org/10.34657/18132
Collections
Forschungsberichte Pflichtabgabe (BMFTR, BMWE…)
License
Creative Commons Attribution-NonDerivs 3.0 Germany
https://creativecommons.org/licenses/by-nd/3.0/de/