Diese Arbeit untersucht semi-überwachtes Anomalie-Erkennen für die Netzwerksicherheit auf Basis realer TCP-Metadaten. Aufbauend auf DeepSAD übertragen wir den Ansatz von der Anomalieerkennung auf Bilddaten in den Bereich von Computernetzwerken und transformieren die Aufgabe auf die Identifikation von TCP-Verbindungsfenstern fester Größe, die potenziell bösartige Aktivität enthalten. Zunächst etablieren wir eine zentrale Baseline, die zeigt, dass sich schädliche Aktivitäten zuverlässig und ohne umfangreiche manuelle Labeling-Aufwände erkennen lassen. Anschließend überführen wir den Ansatz in eine Federated-Learning-Variante, die Rohdaten bei den Clients belässt und lediglich Modellaktualisierungen zentral koordiniert. Zwar erreicht der Federated-Learning-Ansatz noch nicht die Genauigkeit der zentralen Variante und erfordert mehr Trainingsaufwand, doch zeigt er, dass eine datenschutzwahrende Erkennung in der Praxis machbar ist. Abschließend analysieren wir, wie sich Datenverteilung und Aggregationsentscheidungen auf Stabilität und Leistung auswirken, und stellen fest, dass sich Client-Heterogenität nutzen lässt, statt sie lediglich zu tolerieren. Insgesamt weist die Arbeit einen End-to-End- Weg für die Anomalieerkennung, der sich im zentralisierten Setting als effektiv erweist und unter Federated-Learning-Rahmenbedingungen vielversprechend ist — und der klare nächste Schritte zur Stärkung des Datenschutzes, zur Optimierung des föderierten Trainings und zur skalierbaren Einführung aufzeigt.
Simon Müller-Guttenbrunn (Mon,) studied this question.