Die Kompetenz, effizient qualitativ hochwertige Software selbst entwickeln zu konnen oder von and... more Die Kompetenz, effizient qualitativ hochwertige Software selbst entwickeln zu konnen oder von anderen entwickeln lassen zu konnen, beruht wesentlich auf der Fahigkeit, systematisch aus Erfahrungen zu lernen, die in diesem Umfeld bereits gemacht wurden. In diesem Beitrag wird ein Projekt vorgestellt, in dem bei der Daimler-Benz AG eine sog. Experience Factory etabliert wird, die eine systematische Aufzeichnung und Nutzung von Erfahrungen ermoglicht. Das in der Literatur beschriebene Konzept der Experience Factory mus in diesem Projekt zunachst auf die konkreten Gegebenheiten angepast und erweitert werden. Erstes Anwendungsfeld ist die Aufbereitung und Nutzung konkreter Erfahrungen zum Qualitatsmanagement bei der Entwicklung administrativer Software.
Software Engineering and Knowledge Engineering, 1994
Artificial bone is prepared from animal bone treated for removal of organics, burned, baked and i... more Artificial bone is prepared from animal bone treated for removal of organics, burned, baked and immersed in atelocollagen solution.
In dieser Arbeit wird dargestellt, wie der Entwurf wissensbasierter Systeme, der sich an der KADS... more In dieser Arbeit wird dargestellt, wie der Entwurf wissensbasierter Systeme, der sich an der KADS-Methodik orientiert und der von einer Beschreibung der Expertise mit der ausfuhrbaren Spezifikationssprache KARL ausgeht, aussehen soll. Dazu werden Unterschiede zu einem existierenden Vorschlag zur Designphase in KADS aufgezeigt und statt eines linearen Lebenszyklusmodells wird ein evolutionarer Ansatz vorgeschlagen. Daraus werden Anforderungen an eine Entwurfssprache abgeleitet, mit der sowohl der Entwurfsprozes als auch der Systementwurf selbst beschrieben werden kann und die die Moglichkeit schafft, den Entwurf anhand eines lauffahigen Prototypen zu evaluieren.
Long-Short-Term Memory (LSTM) networks can process sequential information and are a promising app... more Long-Short-Term Memory (LSTM) networks can process sequential information and are a promising approach towards self-learning intrusion detection methods. Yet, this approach requires huge amounts of barely available labeled training data with recent and realistic behavior. This paper analyzes if the use of Generative Adversarial Networks (GANs) can improve the quality of LSTM classifiers on flow-based network data. GANs provide an opportunity to generate synthetic, but realistic data without creating exact copies. The classification objective is to separate flow-based network data into normal behavior and anomalies. To that end, we build a transformation process of the underlying data and develop a baseline LSTM classifier and a GAN-based model called LSTM-WGAN-GP. We investigate the effect of training the LSTM classifier only on real world data and training the LSTM-WGAN-GP on real and synthesized data. An experimental evaluation using the CIDDS-001 and ISCX Botnet data sets shows a general improvement in terms of Accuracy and F1-Score, while maintaining identical low False Positive Rates.
In der Informatik haben sich drei Teildisziplinen herausgebildet, die sich mit der methodischen U... more In der Informatik haben sich drei Teildisziplinen herausgebildet, die sich mit der methodischen Unterstutzung des Entwicklungsprozesses von Softwaresystemen beschaftigen: Software Engineering, Information Systems Engineering und Knowledge Engineering. Historisch gesehen ist Software Engineering (SE) die alteste Teildisziplin, die insbesondere Beitrage zur Beschreibung des Entwicklungsprozesses durch Vorgehensmodelle und zur Beschreibung funktionaler Aspekte von Softwaresystemen geliefert hat. Im Information Systems Engineering (ISE) beschaftigte man sich zunachst primar mit der Modellierung statischer Aspekte von Informationssystemen durch semantische Datenmodelle, in den zuruckliegenden Jahren gewannen dynamische Aspekte jedoch immer mehr an Bedeutung. In der jungsten der drei Teildisziplinen, dem Knowledge Engineering (KE), wurden ursprunglich hauptsachlich Fragen der methodischen Unterstutzung der Wissenserhebung untersucht, seit kurzem findet jedoch der gesamte Entwicklungsprozes wissensbasierter System zunehmend mehr Beachtung.
Over the years, artificial neural networks have been applied successfully in many areas including... more Over the years, artificial neural networks have been applied successfully in many areas including IT security. Yet, neural networks can only process continuous input data. This is particularly challenging for security-related, non-continuous data like system calls of an operating system. This work focuses on five different options to preprocess sequences of system calls so that they can be processed by neural networks. These input options are based on one-hot encodings and learning word2vec, GloVe or fastText representations of system calls. As an additional option, we analyse if mapping system calls to their respective kernel modules is an adequate generalization step for (i) replacing system calls or (ii) enhancing system call data with additional information regarding their context. When performing such preprocessing steps it is important to ensure that no relevant information is lost during the process. The overall objective of system call analysis in the context of IT security is to categorize a sequence of them as benign or malicious behavior. Therefore, this scenario is used to evaluate different system call representations in a classification task. Results indicate that a broader range of attacks can be detected when enriching system call representations with corresponding kernel module information. Prior learning of embeddings does not achieve significant improvements. This work is an extension of the work by Wunderlich et al. [1] published in Advances in Intelligent Systems and Computing (AISC, volume 951).
IP Addresses are a central part of packet- and flow-based network data. However, visualization an... more IP Addresses are a central part of packet- and flow-based network data. However, visualization and similarity computation of IP Addresses are challenging to due the missing natural order. This paper presents a novel similarity measure IP2Vec for IP Addresses that builds on ideas from Word2Vec, a popular approach in text mining. The key idea is to learn similarities by extracting available context information from network data. IP Addresses are similar if they appear in similar contexts. Thus, IP2Vec is automatically derived from the given network data set. The proposed approach is evaluated experimentally on two public flow-based data sets. In particular, we demonstrate the effectiveness of clustering IP Addresses within a botnet data set. In addition, we use visualization methods to analyse the learned similarities in more detail. These experiments indicate that IP2Vec is well suited to capture the similarity of IP Addresses based on their network communications.
Die Kompetenz, effizient qualitativ hochwertige Software selbst entwickeln zu konnen oder von and... more Die Kompetenz, effizient qualitativ hochwertige Software selbst entwickeln zu konnen oder von anderen entwickeln lassen zu konnen, beruht wesentlich auf der Fahigkeit, systematisch aus Erfahrungen zu lernen, die in diesem Umfeld bereits gemacht wurden. In diesem Beitrag wird ein Projekt vorgestellt, in dem bei der Daimler-Benz AG eine sog. Experience Factory etabliert wird, die eine systematische Aufzeichnung und Nutzung von Erfahrungen ermoglicht. Das in der Literatur beschriebene Konzept der Experience Factory mus in diesem Projekt zunachst auf die konkreten Gegebenheiten angepast und erweitert werden. Erstes Anwendungsfeld ist die Aufbereitung und Nutzung konkreter Erfahrungen zum Qualitatsmanagement bei der Entwicklung administrativer Software.
Software Engineering and Knowledge Engineering, 1994
Artificial bone is prepared from animal bone treated for removal of organics, burned, baked and i... more Artificial bone is prepared from animal bone treated for removal of organics, burned, baked and immersed in atelocollagen solution.
In dieser Arbeit wird dargestellt, wie der Entwurf wissensbasierter Systeme, der sich an der KADS... more In dieser Arbeit wird dargestellt, wie der Entwurf wissensbasierter Systeme, der sich an der KADS-Methodik orientiert und der von einer Beschreibung der Expertise mit der ausfuhrbaren Spezifikationssprache KARL ausgeht, aussehen soll. Dazu werden Unterschiede zu einem existierenden Vorschlag zur Designphase in KADS aufgezeigt und statt eines linearen Lebenszyklusmodells wird ein evolutionarer Ansatz vorgeschlagen. Daraus werden Anforderungen an eine Entwurfssprache abgeleitet, mit der sowohl der Entwurfsprozes als auch der Systementwurf selbst beschrieben werden kann und die die Moglichkeit schafft, den Entwurf anhand eines lauffahigen Prototypen zu evaluieren.
Long-Short-Term Memory (LSTM) networks can process sequential information and are a promising app... more Long-Short-Term Memory (LSTM) networks can process sequential information and are a promising approach towards self-learning intrusion detection methods. Yet, this approach requires huge amounts of barely available labeled training data with recent and realistic behavior. This paper analyzes if the use of Generative Adversarial Networks (GANs) can improve the quality of LSTM classifiers on flow-based network data. GANs provide an opportunity to generate synthetic, but realistic data without creating exact copies. The classification objective is to separate flow-based network data into normal behavior and anomalies. To that end, we build a transformation process of the underlying data and develop a baseline LSTM classifier and a GAN-based model called LSTM-WGAN-GP. We investigate the effect of training the LSTM classifier only on real world data and training the LSTM-WGAN-GP on real and synthesized data. An experimental evaluation using the CIDDS-001 and ISCX Botnet data sets shows a general improvement in terms of Accuracy and F1-Score, while maintaining identical low False Positive Rates.
In der Informatik haben sich drei Teildisziplinen herausgebildet, die sich mit der methodischen U... more In der Informatik haben sich drei Teildisziplinen herausgebildet, die sich mit der methodischen Unterstutzung des Entwicklungsprozesses von Softwaresystemen beschaftigen: Software Engineering, Information Systems Engineering und Knowledge Engineering. Historisch gesehen ist Software Engineering (SE) die alteste Teildisziplin, die insbesondere Beitrage zur Beschreibung des Entwicklungsprozesses durch Vorgehensmodelle und zur Beschreibung funktionaler Aspekte von Softwaresystemen geliefert hat. Im Information Systems Engineering (ISE) beschaftigte man sich zunachst primar mit der Modellierung statischer Aspekte von Informationssystemen durch semantische Datenmodelle, in den zuruckliegenden Jahren gewannen dynamische Aspekte jedoch immer mehr an Bedeutung. In der jungsten der drei Teildisziplinen, dem Knowledge Engineering (KE), wurden ursprunglich hauptsachlich Fragen der methodischen Unterstutzung der Wissenserhebung untersucht, seit kurzem findet jedoch der gesamte Entwicklungsprozes wissensbasierter System zunehmend mehr Beachtung.
Over the years, artificial neural networks have been applied successfully in many areas including... more Over the years, artificial neural networks have been applied successfully in many areas including IT security. Yet, neural networks can only process continuous input data. This is particularly challenging for security-related, non-continuous data like system calls of an operating system. This work focuses on five different options to preprocess sequences of system calls so that they can be processed by neural networks. These input options are based on one-hot encodings and learning word2vec, GloVe or fastText representations of system calls. As an additional option, we analyse if mapping system calls to their respective kernel modules is an adequate generalization step for (i) replacing system calls or (ii) enhancing system call data with additional information regarding their context. When performing such preprocessing steps it is important to ensure that no relevant information is lost during the process. The overall objective of system call analysis in the context of IT security is to categorize a sequence of them as benign or malicious behavior. Therefore, this scenario is used to evaluate different system call representations in a classification task. Results indicate that a broader range of attacks can be detected when enriching system call representations with corresponding kernel module information. Prior learning of embeddings does not achieve significant improvements. This work is an extension of the work by Wunderlich et al. [1] published in Advances in Intelligent Systems and Computing (AISC, volume 951).
IP Addresses are a central part of packet- and flow-based network data. However, visualization an... more IP Addresses are a central part of packet- and flow-based network data. However, visualization and similarity computation of IP Addresses are challenging to due the missing natural order. This paper presents a novel similarity measure IP2Vec for IP Addresses that builds on ideas from Word2Vec, a popular approach in text mining. The key idea is to learn similarities by extracting available context information from network data. IP Addresses are similar if they appear in similar contexts. Thus, IP2Vec is automatically derived from the given network data set. The proposed approach is evaluated experimentally on two public flow-based data sets. In particular, we demonstrate the effectiveness of clustering IP Addresses within a botnet data set. In addition, we use visualization methods to analyse the learned similarities in more detail. These experiments indicate that IP2Vec is well suited to capture the similarity of IP Addresses based on their network communications.
Uploads
Papers by Dieter Landes