KI gegen Cybercrime: Neue Methode soll Cyberangriffe auf IoT-Geräte fast fehlerfrei erkennen.

Unsere Welt wird immer smarter: Haushalte und Unternehmen nutzen smarte Türschlösser, Überwachungskameras, Thermostate oder Küchengeräte, alle per App steuerbar – oft auch von unterwegs. Im Hintergrund tauschen Milliarden sogenannter IoT-Geräte fleißig Daten aus, automatisieren Prozesse und werden zu ‚unsichtbaren Helfern‘ im Alltag und der Industrie. Doch diese immer engere Vernetzung zieht auch die Aufmerksamkeit von Cyberkriminellen auf sich.

Um Attacken rechtzeitig zu erkennen und abzuwehren, kommen sogenannte Intrusion Detection Systeme (IDS) zum Einsatz. Diese „digitalen Wachhunde“ überwachen die Netzwerkkommunikation, suchen nach Merkwürdigkeiten und lösen bei verdächtigen Mustern Alarm aus.
Aber: Mit dem Siegeszug des IoT wächst nicht nur die Zahl und Vielfalt der Geräte, sondern auch die Komplexität und Verschleierung der Angriffe. Besonders problematisch sind:

• Die enorme Menge an Netzwerkdaten, in denen die „Nadel im Heuhaufen“ gesucht werden muss;
• Hochgradige Unausgewogenheit: Schadaktivitäten sind extrem selten und machen oft weit weniger als 1% aller Netzwerkverbindungen aus;
• Viele Merkmale (etwa Protokolle, Ports, Zeitreihen etc.) in den Daten sind für die Angriffsdetektion gar nicht relevant – sie blähen die Analyse aber auf;
• Bisherige Schutzsysteme schlagen häufig falschen Alarm oder übersehen raffinierte, gut getarnte Angriffe.

KI gegen Cybercrime: Chancen und Grenzen

In den letzten Jahren setzten sich Methoden des maschinellen Lernens und zunehmend Deep Learning zur Mustererkennung im Bereich IT-Security durch. Besonders Convolutional Neural Networks (CNN) oder Long Short-Term Memory Networks (LSTM) konnten komplexe Angriffsmuster identifizieren – zumindest bei sehr ausgewogenen und sauberen Trainingsdatensätzen.

Das CNN extrahiert räumliche Merkmale aus den Daten (z. B. Muster im Netzwerkverkehr zu einem Zeitpunkt) während das LSTM die zeitliche Entwicklung dieser Merkmale über den Verlauf verfolgt (z. B. wie sich ein Angriff über mehrere Zeitpunkte entfaltet).

Die Kombination beider Netzwerke ermöglicht ein sehr genaues Erkennen komplexer und versteckter Angriffsmuster im Netzwerk.
Doch gerade im IoT-Umfeld fehlt es oft an guten Angriffsdaten. Die meisten Modelle tun sich schwer, seltene Attacken zu erkennen und leiden an einer sogenannten „Klassenungleichverteilung“. Außerdem führen viele irrelevante, redundant gespeicherte Datenpunkte zu hohem Rechenaufwand und schlechterer Lerngeschwindigkeit.

Dreistufiges KI Prüfsystem für zuverlässige Angriffserkennung

In der jetzt in den Scientific Reports auf nature.com veröffentlichten Arbeit „An attack detection method based on deep learning for internet of things“ von Wissenschaftlern der Naval Universität of Engineering Wuhan, China, wird eine dreistufige Methode vorgestellt, die frühzeitig Cyberangriffe auf IoT Geräte zuverlässig erkennen können soll.

1. Feature Selection via Genetischer Algorithmus
   Statt alle verfügbaren Netzwerkmerkmale auszuwerten, filtert ein so genannter genetischer Such-Algorithmus automatisch jene Eigenschaften heraus, die wirklich relevante Hinweise auf Angriffe liefern. Ein genetischer Algorithmus ist ein Verfahren, das nach dem Vorbild der natürlichen Evolution Probleme löst, insbesondere komplizierte Optimierungsaufgaben. Die Grundidee: Viele mögliche Lösungen werden zunächst zufällig erzeugt („Population“). Dann werden in mehreren Durchgängen („Generationen“) immer die besten Lösungen ausgewählt, miteinander kombiniert und leicht verändert („Mutation“ und „Kreuzung“), sodass im Laufe der Zeit immer bessere Lösungen entstehen. Dieses Modell soll schneller und übersichtlicher lernen und benötigt weniger Ressourcen.
2. Equalization Loss v2 – gegen das Übersehen seltener Angriffe
   Beim Training von Künstlicher Intelligenz wird der Erfolg durch die sogenannte „Loss Function“ (Verlustfunktion) gesteuert. Die Forscher nutzen hier eine erweiterte Variante, bei der Angriffe, die im Trainingsdatensatz besonders selten sind, im Lernprozess ein höheres „Gewicht“ bekommen. Damit sollen sich auch ganz seltene Attacken zuverlässig erkennen lassen, ohne dass normale Verbindungen ständig fälschlicherweise als gefährlich markiert werden.
3. Kombiniertes CNN-LSTM-Modell – denkt räumlich UND zeitlich
   Das eigentliche Deep-Learning-Modell verbindet die Stärken zweier Ansätze:
   • CNNs analysieren gleichzeitig auftretende Muster – z. B.: Welche Ports werden parallel angesprochen?
   • LSTM analysiert, wie sich Netzwerkereignisse über die Zeit hinweg verändern – also Angriffe, die sich über viele kleine, zeitlich verteilte Aktionen erstrecken. So können auch komplexe, langsam ablaufende oder besonders „leise“ Angriffe identifiziert werden.

Validierung auf unterschiedlichen Testdatensätzn

Die Methode wurde mit zwei international anerkannten Testdatensätzen auf geprüft:

• NSL-KDD: Verbessert und entrümpelt den Vorgänger KDD CUP99 und simuliert verschiedene Realwelt-Szenarien.
• CIC-IDS-2017: Beinhaltet echte Netzwerkdaten mit einer Vielzahl real eingerichteter Attacken, insbesondere aus dem IoT-Bereich.

Beide Datensätze sind öffentlich zugänglich und dienen seit Jahren als Benchmark für Forschung und Entwicklung neuer Sicherheitslösungen.
Ergebnisse: Die Forscher vermelden in ihrem Aufsatz bis zu 99,8% Trefferquote bei minimalen Fehlalarmen

• Auf dem NSL-KDD-Datensatz erreichte das System laut Forschern eine Erkennungsrate („Accuracy“) von 99,21%, mit ähnlich hohen Werten für Präzision und Sensitivität;
• Auf dem CIC-IDS-2017-Datensatz sogar 99,83%, bei einer extrem niedrigen Fehlalarmrate von nur 0,11%

Im direkten Vergleich mit etablierten Konkurrenzmethoden (klassische Maschinelles Lernen, andere Deep-Learning-Lösungen, komplexe Sampling-Techniken) zeigte sich die neue Methode ausnahmslos überlegen oder gleichwertig, gerade wenn es darum ging, seltene, aber gefährliche Angriffe richtig zu erkennen. Ein Zusatznutzen: Weil durch die intelligente Auswahl der Merkmale viele unnötige Rechenschritte eingespart werden, eignet sich das Verfahren, so die Wissenschaftler, besonders für Geräte mit knappen Ressourcen – ein wichtiger Punkt für IoT-Endgeräte, die oft nicht viel Speicher oder Rechenleistung mitbringen.

Lernende Schutzmechanismen für rasant wachsende digitale Infrastruktur

Mit jeder smarten LED-Lampe, jeder „intelligenten“ Kaffeemaschine und jedem Sensor in der Fabrik wächst die Angriffsfläche für Cyberkriminelle. Gleichzeitig ist es unmöglich, jede einzelne Komponente manuell abzusichern oder stets auf dem aktuellsten Stand zu halten. Deshalb sind automatisierte, lernende Schutzmechanismen der Schlüssel für die Zukunft unserer digitalen Infrastruktur

• Hochautomatische, KI-basierte Erkennung selbst raffinierter Attacken;
• Sehr geringe Fehlalarme – wichtig, um „Alarmmüdigkeit“ im Betrieb zu vermeiden;
• Echtzeitnahe Einsetzbarkeit auch auf ressourcenschwacher Hardware;
• Einen modularen technischen Ansatz, der künftig auf weitere Gerätekategorien und neue Angriffstechniken übertragen werden kann.

Nach Benchmark-Tests stehen Real-Life Tests noch aus

Die Autoren betonen, dass bisher ausschließlich mit öffentlich verfügbaren Benchmark-Daten gearbeitet wurde. Die nächsten Schritte seien bereits geplant: Erweiterung auf verschiedenste real existierende IoT-Umgebungen – vom Industrie-Roboter bis zum Smart-Home – sowie die weitere Optimierung für mobile Geräte und Edge-Cloud-Szenarien.

Forscher zeigen sich zufrieden mit ihren Ergebnissen

Das vorgestellte Verfahren sei ein massiver Fortschritt für die Angriffserkennung im IoT. Durch die Kombination eines ausgeklügelten Feature-Filtermechanismus mit moderner Deep-Learning-Architektur und smarter Fehlerkorrektur erkennt es sowohl häufige als auch seltene Attacken beinahe fehlerfrei – und das effizient, robust und skalierbar.

(Quelle Yu, Y., Fu, Y., Liu, T. et al. An attack detection method based on deep learning for internet of things. Sci Rep 15, 28812 (2025).) https://www.nature.com/articles/s41598-025-14808-0