Die US Sicherheitsfirma entwickelt und vertreibt Produkte im Bereich der IT-Sicherheit mit dem Schwerpunkt “Threat Detection & Mitigation”. Aufgrund des zunehmenden Einsatzes von Cloud-Architekturen ist die Erkennung von verdächtigen oder bösartigen Login-Versuchen essentiell. Ateleris wurde mit der Entwicklung einer neuen, auf maschinellem Lernen basierenden Erkennungsmethode beauftragt, um Fehlalarme zu reduzieren und die Erkennungsrate tatsächlicher Bedrohungen zu erhöhen.

Zu diesem Zweck ersetzte Ateleris einfache, statische Erkennungsregeln für bösartige Login-Versuche durch ein flexibles maschinelles Lernmodell (Gradient Boosting), das Logins auf der Grundlage aller verfügbaren Daten im Zeitverlauf bewertet. Der Implementierung des Gradient-Boosting-Algorithmus ging eine intensive Feature-Engineering-Phase voraus, um die bestmöglichen Merkmale des Modells zu identifizieren.

Aufgrund der riesigen Mengen an Trainings- und Validierungsdaten mussten effiziente Ansätze entwickelt werden, um die Daten aus den Data Lakes zu extrahieren, wobei Terabytes an Daten geladen, verarbeitet und nach Mustern durchsucht werden mussten. Zu diesem Zweck wurden spezielle Low-Level-Datenkonnektoren entwickelt, die Speicheroptimierungen, Parallelisierungsstrategien und besonders effiziente Datenstrukturen nutzen, um die Anmeldedaten aus dem Amazon AWS Data Lake zu laden und sie für die Analyse zu bereinigen und vorzuverarbeiten.

Nach erfolgreichen kleinen Feldtests integrierte das Ingenieurteam des Kunden unseren Algorithmus in ihr Live-Produktionssystem und sammelte und verarbeitete täglich über 4 Millionen Login-Anfragen. Mit unserem neuen, auf maschinellem Lernen basierenden Ansatz sanken die False Positives, d. h. die Fehlalarme, um 50-60 %, während die Erkennungsrate tatsächlicher Angriffe deutlich anstieg.