From Threat Intelligence to Firewall Rules: Semantic Relations in Hybrid AI Agent and Expert System Architectures

Diese Arbeit stellt ein hybrides Neuro-Symbol-System vor, das semantische Hypernym-Hyponym-Beziehungen in Cyber-Threat-Intelligence-Berichten nutzt, um automatisch CLIPS-Regeln für Expertensysteme zu generieren und so Firewall-Regeln zur Bedrohungsabwehr zu erstellen.

Das Wesentliche

Stellen Sie sich vor, das Internet ist eine riesige, belebte Stadt. Die Gebäude sind unsere Webseiten, und die Diebe sind die Hacker, die versuchen, einzubrechen.

Das Problem ist: Die Diebe werden immer schlauer. Sie nutzen künstliche Intelligenz (KI), um schneller zu stehlen. Die Sicherheitsbeamten (die Verteidiger) müssen aber das ganze System schützen. Das ist wie der Versuch, einen Ozean mit einem Eimer leer zu schöpfen – es ist unmöglich, alles im Voraus zu sehen.

Diese Forschungsarbeit beschreibt einen neuen, cleveren Weg, wie wir KI nutzen können, um die Sicherheitsbeamten zu unterstützen, ohne dass sie verrückt werden. Hier ist die Erklärung, wie das funktioniert, ganz einfach und mit ein paar Bildern:

1. Das Problem: Zu viel Lärm, zu wenig Signal

Die Sicherheitsbeamten erhalten jeden Tag riesige Berichte von Spionen (das nennt man "Cyber Threat Intelligence" oder CTI). Diese Berichte sind oft wie ein lautes, chaotisches Gespräch in einer vollen Bar. Man muss herausfinden: "Was genau will der Dieb?" und "Wie stoppen wir ihn?".
Bisherige KI-Systeme waren wie Anfänger, die versuchen, aus diesem Chaos Regeln zu machen. Oft haben sie die falschen Dinge betont oder waren bei seltenen, aber gefährlichen Diebstählen hilflos.

2. Die Lösung: Ein Team aus einem Detektiv und einem Architekten

Die Autoren haben ein hybrides System gebaut, das wie ein Team aus zwei Spezialisten funktioniert:

• Der KI-Detektiv (Der "Agentic AI"):
  Dieser Teil ist wie ein sehr gut ausgebildeter Privatdetektiv, der in den chaotischen Berichten liest. Aber er liest nicht einfach nur. Er nutzt eine spezielle Technik, die wir "Hypernym-Hyponym-Beziehungen" nennen.

  Die Analogie: Stellen Sie sich vor, der Detektiv liest den Satz: "Der Dieb hat einen roten Ferrari gestohlen."
  Ein normaler Computer denkt vielleicht nur an "Ferrari". Unser Detektiv denkt aber in Kategorien:

  • "Ferrari" ist eine Art von Auto (Hyponym).
  • "Auto" ist eine Art von Fahrzeug (Hypernym).

  Indem der Detektiv diese Hierarchie nutzt, versteht er den Kontext viel besser. Er weiß: "Aha, wenn jemand einen roten Ferrari stiehlt, müssen wir vielleicht alle Fahrzeuge im Auge behalten, nicht nur Ferraris." Er filtert das Wichtigste aus dem Lärm heraus.

• Der Architekt (Das "Expert System" / CLIPS):
  Sobald der Detektiv die Informationen gesammelt hat, gibt er sie an den Architekten weiter. Dieser ist kein KI-Träumer, sondern ein strenger Baumeister, der nach festen Regeln arbeitet (wie ein Kochbuch).
  Der Architekt nimmt die Informationen des Detektivs und baut daraus exakte, fehlerfreie Feuerwehr-Regeln (Firewall-Rules). Das ist wie ein Bauplan, der genau sagt: "Wenn ein rotes Fahrzeug ankommt, schließe das Tor."

  Warum zwei Teile? Weil KI manchmal halluziniert (Dinge erfindet). Der Architekt sorgt dafür, dass am Ende nur mathematisch korrekte und sichere Regeln herauskommen.

3. Der Prozess: Vom Bericht zur Türschloss-Regel

Stellen Sie sich den Ablauf so vor:

1. Der Bericht kommt rein: Ein Spion schreibt: "Ein Hacker hat eine neue Software namens 'ShadowStalker' benutzt, um in Server einzudringen."
2. Der Detektiv analysiert: Er fragt die KI: "Was ist 'ShadowStalker'?" -> "Eine Malware." -> "Was ist Malware?" -> "Ein schädliches Programm." -> "Was ist ein schädliches Programm?" -> "Eine Bedrohung für Netzwerke."
   Durch diese Stufen (von spezifisch zu allgemein) versteht er das Wesentliche.
3. Der Architekt baut: Er nimmt dieses Verständnis und schreibt automatisch einen Code (in einer Sprache namens CLIPS), der genau sagt: "Blockiere jeden Datenverkehr, der wie 'ShadowStalker' aussieht."
4. Das Ergebnis: Die Firewall schließt die Tür, bevor der Hacker überhaupt anklopft.

4. Was haben sie herausgefunden?

Die Forscher haben ihr System getestet und verglichen:

• Besser als die alten Methoden: Herkömmliche KI-Methoden waren wie ein Hammer, der auf alles schlägt. Ihr System war wie ein Skalpell – es traf genau das Richtige. Sie waren etwa 7% besser darin, die seltenen, aber gefährlichen Angriffe zu erkennen.
• Zuverlässig: Die menschlichen Experten, die die Ergebnisse geprüft haben, waren sich einig, dass die Regeln korrekt und sinnvoll waren. Das System hat nicht "gelogen" oder falsche Regeln geschrieben.

Zusammenfassung

Dieses Papier zeigt, wie man KI nicht als "Magie" benutzt, sondern als einen intelligenten Assistenten, der mit einem strengen Regelwerk zusammenarbeitet.

Statt die KI alles selbst entscheiden zu lassen (was gefährlich sein kann), nutzen wir sie, um die Bedeutung von Bedrohungen zu verstehen (wie ein Detektiv), und lassen dann ein festes System die Türen schließen (wie ein Architekt). So können wir schneller und sicherer auf Cyberangriffe reagieren, bevor sie Schaden anrichten.

Es ist der Unterschied zwischen einem Sicherheitsmann, der wild um sich schreit ("Halt, da ist jemand!"), und einem, der ruhig sagt: "Ich habe erkannt, dass es ein Dieb mit einem roten Ferrari ist, und habe das Tor für alle roten Fahrzeuge geschlossen."

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des vorliegenden Papers auf Deutsch:

Titel

Von Threat Intelligence zu Firewall-Regeln: Semantische Relationen in hybriden KI-Agenten- und Expertensystem-Architekturen

1. Problemstellung

Webanwendungen sind häufige Ziele von Cyberangriffen, wobei Angreifer zunehmend KI-gestützte Tools zur automatisierten Ausnutzung von Schwachstellen einsetzen. Dies führt zu einer strukturellen Asymmetrie in der Cybersicherheit: Angreifer müssen nur eine Schwachstelle finden, während Verteidiger das gesamte System schützen müssen.
Die zentrale Herausforderung besteht darin, Cyber Threat Intelligence (CTI)-Berichte (die oft unstrukturiert, verrauscht und verbose sind) schnell in praktische defensive Maßnahmen umzuwandeln, wie z. B. die Konfiguration von Firewall-Regeln.
Bestehende KI-Ansätze scheitern oft an der inhärenten Komplexität der automatischen Kategorisierung sensibler Daten, insbesondere aufgrund starker Datenungleichgewichte (Imbalanced Data) zwischen verschiedenen Bedrohungsklassen. Herkömmliche Methoden zur direkten Abbildung von Rohtext auf Klassifikationen oder Code-Generierung sind hier oft unzureichend.

2. Methodik

Das Paper schlägt einen hybriden Ansatz vor, der neuronale KI (Large Language Models, LLMs) mit symbolischer KI (Expertensysteme) kombiniert. Die Architektur folgt einem Semantic Information Flow (SIF) und besteht aus folgenden Komponenten:

• Hybride Architektur:

  • Neuronale Komponente (Agent): Ein verbesserter CoALA-Agent extrahiert semantische Informationen aus CTI-Berichten.
  • Symbolische Komponente (Expertensystem): Ein Expertensystem (basierend auf CLIPS) validiert die Ausgaben und generiert formale Firewall-Regeln (z. B. iptables).

• Semantische Extraktionsstrategie (Der Kernbeitrag):
  Statt Text direkt zu klassifizieren, nutzt der Agent eine iterative Prompting-Strategie, die auf taxonomischen Relationen (Hyperonymie und Hyponymie) basiert:

  1. Entitätsextraktion: Der LLM identifiziert spezifische Domänen-Entitäten im Text.
  2. Abstraktion: Diese Entitäten werden in semantische Kategorien (Hyperonyme) abstrahiert.
  3. Verfeinerung: Basierend auf diesen angereicherten Darstellungen werden spezifische Operationen durchgeführt.
  • Ziel: Durch die Nutzung von Hyperonymen (Oberbegriffe) und Hyponymen (Unterbegriffe) wird das semantische Verständnis der Sicherheitsereignisse verbessert, was eine präzisere Zuordnung zu Verteidigungsstrategien ermöglicht.

• Code-Generierung und Validierung:

  • Der Agent generiert CLIPS-Code-Templates, die die extrahierten Hyperonyme formal repräsentieren.
  • Ein Refinement Engine nutzt diese CLIPS-Regeln, um die passenden Sicherheitskontrollen zu identifizieren und die endgültigen Filterregeln zu erzeugen.
  • Das Expertensystem fungiert als syntaktische Verifikationsschicht, um Halluzinationen des LLM zu verhindern und die korrekte Syntax der generierten Regeln sicherzustellen.

• Determinismus: Um Reproduzierbarkeit zu gewährleisten, wurden Best Practices für deterministische LLM-Inferenz angewendet (feste Random Seeds, Deaktivierung von CuDNN-Benchmarking, Greedy Decoding).

3. Wichtige Beiträge

1. Neue Methodik zur semantischen Extraktion: Einführung einer Methode, die taxonomische Relationen (Hyperonym/Hyponym) nutzt, um CTI-Berichte zu analysieren. Dies verbessert das semantische Verständnis und die Zuordnung zu defensiven Maßnahmen im Vergleich zu reinen Klassifikationsansätzen.
2. Agentic System für defensive Code-Generierung: Entwicklung eines Systems, das extrahierte Informationen auf bestehende defensive Maßnahmen abbildet und automatisch CLIPS-Code-Artefakte zur Konfiguration von Sicherheitskontrollen (Firewall-Regeln) generiert.
3. Empirische Evaluation: Eine tiefgehende Evaluierung sowohl der Informationsentnahme als auch der Code-Generierung. Die Studie zeigt, dass der agentische Ansatz robuster gegenüber unausgewogenen Daten ist und eine höhere Wirksamkeit bei der Bedrohungsabwehr bietet.

4. Ergebnisse

Die Evaluation wurde auf zwei Datensätzen durchgeführt (CTI-HAL mit manuellen MITRE ATT&CK-Labels und CIS-Datensatz mit Malware-Einträgen).

• Aufgabe A (Semantische Extraktion & Klassifikation):

  • Der vorgeschlagene Ansatz (Hyponym/Hyperonym-basiertes Prompting) erzielte signifikant bessere Ergebnisse als Baseline-Methoden (Word2Vec, GloVe, SecureBERT, traditionelles ML) und reine Chain-of-Thought (CoT)-Prompts.
  • Metriken: Der Ansatz erreichte einen F1-Score von 0,329 (gewichtet) im Vergleich zu 0,308 bei CoT-Baselines und deutlich niedrigeren Werten bei klassischen ML-Methoden.
  • Die Top-K-Accuracy (0,968) und die BERTScore-Similarität bestätigten die hohe Relevanz der extrahierten Textausschnitte.
  • Wichtig: Hyponyme erwiesen sich als konsistent effektiver als Hyperonyme. Eine geringere Selektivität (Schwellenwert 50%) verbesserte die Leistung.

• Aufgabe B (Code-Generierung & Firewall-Regeln):

  • Die generierten Regeln wurden von Cybersicherheitsexperten qualitativ bewertet.
  • Inter-Rater-Reliabilität: Hohe Übereinstimmung (Krippendorff's Alpha > 0,57) bezüglich der technischen Korrektheit und der Treue zu den CTI-Berichten.
  • Die Ergebnisse deuten darauf hin, dass das System konsistente und syntaktisch korrekte Regeln generiert, die für den Einsatz in Intrusion Prevention Systems (IPS) geeignet sind.

5. Bedeutung und Ausblick

Das Paper demonstriert, dass die Kombination von Agentic AI und symbolischen Expertensystemen ein vielversprechender Weg ist, um die Lücke zwischen unstrukturierten Bedrohungsberichten und automatisierten, vertrauenswürdigen Verteidigungsmaßnahmen zu schließen.

• Innovation: Der Ansatz ersetzt reine probabilistische Klassifikation durch eine strukturierte, semantisch geführte Extraktion, die besser mit den spezifischen Anforderungen der Cybersicherheit (geringe Fehlerrate, strukturierte Ausgabe) umgehen kann.
• Praktischer Nutzen: Die automatische Generierung von CLIPS-Code für Firewall-Regeln beschleunigt die Incident Response und reduziert die manuelle Arbeitslast für Sicherheitsanalysten.
• Zukunft: Die Autoren sehen Potenzial in der weiteren Erforschung von Determinismus in LLMs und der Skalierung des Systems für den produktiven Einsatz in der Incident Response.

Zusammenfassend bietet diese Arbeit einen robusten Rahmen, um die semantische Tiefe von CTI-Berichten zu nutzen, um automatisierte, aber dennoch kontrollierbare und verifizierbare Sicherheitsmaßnahmen zu generieren.