Out-of-Domain Stress Test for Temporal Braid Group Privilege Escalation Detection

Diese Studie validiert die Überlegenheit des Burau-Lyapunov-Exponenten bei der Erkennung von Privilegien-Eskalationsmustern in Cloud-Systemen, indem sie denselben Algorithmus ohne Anpassung erfolgreich auf die Vorhersage solarer koronaler Magnetfeldausbrüche anwendet, um die Robustheit des Modells über den ursprünglichen Anwendungsbereich hinaus zu beweisen.

Das Wesentliche

Das große Bild: Ein Test für einen neuen Sicherheits-Alarm

Stellen Sie sich vor, ein Sicherheitsingenieur hat einen neuen, sehr cleveren Alarmsystem entwickelt, um Hackerangriffe in der Cloud zu erkennen. Dieser Alarm schaut nicht nur darauf, wie viele Zugriffsrechte jemand missbraucht, sondern vor allem darauf, wie diese Rechte missbraucht werden: Ist es ein geplanter, geordneter Angriff (wie ein geordneter Zug) oder ein chaotischer, wilder Sturm?

Das Problem: Der Ingenieur hat seinen Alarm bisher nur mit fiktiven Daten getestet. Kritiker sagen: „Vielleicht funktioniert er nur, weil die Testdaten so gemacht wurden, dass er funktioniert."

Um das zu beweisen, macht der Autor etwas Mutiges: Er nimmt diesen Alarm und wirft ihn in ein völlig anderes, reales System, das nichts mit Computern zu tun hat – die Sonne.

Die Analogie: Wolken vs. Magnetfäden

1. Die Cloud (IT-Sicherheit):
Stellen Sie sich die IT-Sicherheit wie ein riesiges Straßennetz vor.

• Die Straßen: Das sind die Berechtigungen (wer darf wohin?).
• Der Verkehr: Das sind die Nutzer, die sich bewegen.
• Der Angriff: Ein Hacker versucht, von einer kleinen Straße auf eine Autobahn zu kommen.
• Das Problem: Ein einfacher Zähler (der „abelische Statistiker") zählt nur, wie viele Autos auf der Autobahn sind. Er sieht nicht, ob die Autos in einer geordneten Schlange fahren oder wild durcheinanderwirbeln.

2. Die Sonne (Physik):
Die Sonne hat eine Atmosphäre (die Korona), die aus extrem heißen, unsichtbaren Magnetfeldern besteht.

• Die Magnetfäden: Diese Felder sehen aus wie Seile oder Nudeln, die sich durch den Raum winden.
• Das Verheddern: Durch die Bewegung der Sonnenoberfläche werden diese Magnetfäden wie Spaghetti verdrillt und verflochten.
• Der Ausbruch: Wenn sie sich zu sehr verdrillen, reißen sie und entladen ihre Energie als Sonnensturm (ein Flare). Manchmal fliegt eine riesige Wolke aus Plasma ins All (ein CME), manchmal bleibt die Explosion lokal und harmlos.

Die Entdeckung: Der „Braid"-Test (Der Zopf-Test)

Der Autor nutzt eine mathematische Methode, die man sich wie das Flechten eines Zopfes vorstellen kann.

• Wenn man drei Haare verflechtet, gibt es eine bestimmte Reihenfolge, wie man sie kreuzt.
• Der neue Algorithmus (der „Burau-Lyapunov-Exponent") zählt nicht nur, wie oft sich die Haare kreuzen, sondern in welcher Reihenfolge und wie sie sich verdrillen.

Der Clou:
Der Autor sagt: „Wenn ich diesen Zopf-Algorithmus auf die Sonnenfäden anwende, sollte er genau das Gleiche vorhersagen wie bei den Hackern."

Was hat er herausgefunden?

Er hat die Sonne beobachtet und zwei Arten von Ereignissen gefunden:

1. Der „Geordnete" Zopf (Gefährlich für die IT, aber harmlos für die Sonne?):

   • Bei der IT: Ein geordneter, fokussierter Angriff (ein „Fokus-Ratchet").
   • Bei der Sonne: Ein Sonnensturm, der nicht ins All explodiert, sondern sich lokal beruhigt.
   • Das Ergebnis: Der alte Zähler (nur Kreuzungen zählen) sagt: „Viele Kreuzungen! Gefahr!" Der neue Zopf-Algorithmus sagt: „Aber die Kreuzungen sind perfekt geordnet und heben sich mathematisch gegenseitig auf. Es ist sicher."
   • Das Wunder: Bei einem echten Sonnensturm (AR 11520) zeigte der neue Algorithmus genau diesen „geordneten, sich selbst aufhebenden" Zustand, kurz bevor die Sonne ruhig wurde. Der alte Zähler hätte hier falsch alarmiert.

2. Der „Chaotische" Zopf (Harmlos für die IT, gefährlich für die Sonne?):

   • Bei der IT: Ein wilder, chaotischer Angriff mit vielen Wegen.
   • Bei der Sonne: Ein riesiger Ausbruch, der eine Wolke ins All schleudert.
   • Das Ergebnis: Hier zeigt der neue Algorithmus ein hohes Maß an „mathematischem Chaos" (hoher Lyapunov-Exponent), was genau dem entspricht, was wir bei einem echten Sonnensturm erwarten.

Warum ist das wichtig? (Die einfache Botschaft)

Stellen Sie sich vor, Sie testen einen Metall-Detektor an einem Flughafen.

• Zuerst testen Sie ihn mit Kunststoff-Schwertern, die Sie selbst gebaut haben. Er piept. Gut.
• Aber ein Kritiker sagt: „Vielleicht piept er nur, weil Plastik so klingt."
• Also nehmen Sie den Detektor und gehen in einen echten Wald. Sie suchen nach einem echten, rostigen Nagel.
• Wenn der Detektor auch im Wald piept, wissen Sie: Er funktioniert wirklich! Er erkennt das Metall, egal ob es Plastik oder Eisen ist.

Genau das hat dieser Autor getan:
Er hat einen Sicherheits-Algorithmus, der für Computer-Hacker entwickelt wurde, auf Sonnenstürme angewendet. Da die Sonne nichts mit Computern zu tun hat, ist es ein „Stresstest".

Das Ergebnis:
Der Algorithmus hat auf der Sonne funktioniert! Er konnte unterscheiden zwischen einem „harmlosen, lokalen Sturm" und einem „gefährlichen, ins All fliegenden Sturm", indem er die Form der Verdrillung (den Zopf) analysierte, nicht nur die Anzahl der Verdrillungen.

Fazit für den Alltag

Diese Arbeit sagt uns:
Es gibt tiefgreifende mathematische Gesetze, die sowohl für Hacker in Rechenzentren als auch für Magnetfelder auf der Sonne gelten. Wenn man die richtige Art von „Zopf-Mathematik" verwendet, kann man Muster erkennen, die einfache Zähler übersehen.

Es ist wie der Unterschied zwischen:

• Zählen: „Wie viele Leute sind im Raum?" (Der alte Weg).
• Beobachten: „Wie bewegen sich die Leute? Bilden sie eine geordnete Schlange oder einen wilden Tanz?" (Der neue Weg).

Der Autor beweist damit, dass sein neuer „Tanz-Beobachter" nicht nur für Computer-Tests erfunden wurde, sondern ein universelles Werkzeug ist, um Chaos von Ordnung zu unterscheiden – egal ob in der IT oder im Weltraum.

Technische Zusammenfassung

Titel: Out-of-Domain-Stresstest für die Erkennung von Privilegien-Eskalation mittels Temporaler Zopfgruppen – Kreuzdomänen-Unterstützung durch solare koronale Magnetfelder

Autor: Christophe Parisel
Datum: März 2026

---

1. Problemstellung

Das Papier adressiert ein fundamentales Glaubwürdigkeitsproblem bei maschinellen Lern- und algebraischen Sicherheitsklassifizierern, die auf synthetischen Daten trainiert und validiert wurden. Es besteht die Gefahr, dass ein Klassifizierer keine echten strukturellen Eigenschaften entdeckt hat, sondern lediglich die Annahmen des Daten-Generators überangepasst (Overfitting) hat.

In einer Begleitarbeit ([Parisel, 2026]) wurde bewiesen, dass der Burau-Lyapunov-Exponent (LE) im Kontext von Cloud-Identity-and-Access-Management (IAM) Graphen zwischen "fokussierten" und "dispersen" Privilegien-Eskalationsratchets unterscheiden kann, während keine abelsche Statistik dies leisten kann. Um diese Behauptung über den synthetischen Validierungskorpus hinaus zu stärken, wird in diesem Papier ein Out-of-Domain-Stresstest durchgeführt. Ziel ist es, die gleiche algebraische Pipeline auf ein physikalisches System anzuwenden, das keinerlei Verbindung zu Cloud-Sicherheit hat, um zu prüfen, ob die topologischen Signale universell gültig sind.

2. Methodik

Domänen-Übersetzung (IAM zu Solarphysik)

Der Kern der Methode besteht darin, die Konzepte der IAM-Analyse auf die Sonnenphysik zu übertragen:

• IAM-Graphen: Knoten sind Berechtigungszustände, Kanten sind Berechtigungsflüsse.
• Solare Korona: Knoten sind magnetische Flussregionen, Stränge sind koronale Schleifen (Loops).
• Kreuzungen (Crossings): In IAM sind es Übergänge von Walkern; in der Sonne sind es Schnittpunkte magnetischer Schleifen.
• Vorzeichen (Sign): In IAM durch die Richtung des Datenflusses bestimmt; in der Sonne durch die Händigkeit des Magnetfelds (Potentialfeld-Extrapolation).
• Ground Truth: In IAM ist die Eskalationsart (fokussiert vs. dispers) eine operative Tatsache; in der Sonne ist das Vorhandensein einer koronalen Massenauswurf (CME) bei einem Flare eine durch Jahrzehnte der Beobachtung etablierte Tatsache.

Datenpipeline

1. Datengrundlage: 8 solare aktive Regionen (AR) von der NASA Solar Dynamics Observatory (SDO), darunter eruptive Flares (mit CME), konfinierte Flares (ohne CME) und ruhige Regionen.
2. Bildverarbeitung:
   • Nutzung von EUV-Bildern (171 Å) zur Identifikation von koronalen Schleifen mittels eines Frangi-Vesselness-Filters und Skelettisierung.
   • Extraktion der $n=5$ hellsten Schleifen pro Frame.
3. Kreuzungserkennung: Eine horizontale Scan-Linie detektiert das Überkreuzen von Strängen (Generator-Indizes $\sigma_i$).
4. Vorzeichenbestimmung: Die Vorzeichen der Kreuzungen werden aus den magnetischen Feldkarten (HMI SHARP) via Potentialfeld-Extrapolation abgeleitet.
5. Algebraische Verarbeitung:
   • Anwendung des gleichen Burau-Repräsentations-Algorithmus wie in der IAM-Studie.
   • Injection-Wort: $\sigma_i^2 \sigma_{i+1}^{-1}$ (für positive Kreuzungen) bzw. das Vorzeichen-umgekehrte Wort für negative Kreuzungen.
   • Berechnung des Lyapunov-Exponenten (LE) als Maß für das spektrale Wachstum der Burau-Matrix-Produkte.
   • Berechnung der Chiralität ($\chi$) als abelsche Statistik (Netto-Helikität).

Wichtig: Keine domänenspezifische Parametertuning wurde durchgeführt. Die Pipeline wurde unverändert von der IAM-Studie übernommen.

3. Schlüsselbeiträge

1. Erster Out-of-Domain-Test: Dies ist die erste Anwendung der temporalen Zopfgruppen-Pipeline auf ein physikalisches System (solare Magnetfelder), das nicht künstlich konstruiert wurde.
2. Bestätigung des "Abelian Blindness"-Theorems: Das Papier zeigt empirisch, dass abelsche Statistiken (wie die Netto-Helikität $\chi$) nicht in der Lage sind, den dynamischen Zustand (eruptiv vs. konfiniert) vorherzusagen, während der nicht-abelsche Burau-Exponent (LE) dies tut.
3. Entdeckung physikalischer Subtypen: Die Methode unterscheidet zwischen zwei physikalisch unterschiedlichen Mechanismen der Flare-Einschränkung (Konfinement), die beide zu keinem CME führen, aber entgegengesetzte nicht-abelsche Signaturen aufweisen.
4. Validierung der algebraischen Struktur: Die Beobachtung einer exakten algebraischen Auslöschung (SR=1) in einem physikalischen System bestätigt die theoretischen Vorhersagen der Begleitarbeit.

4. Ergebnisse

A. Unabhängigkeit von abelschen und nicht-abelschen Statistiken

• Die Korrelation zwischen der Chiralität $\chi$ (abelsch) und dem Lyapunov-Exponenten LE (nicht-abelsch) ist vernachlässigbar ($r \approx 0,03$).
• Es gibt Fälle mit identischem maximalem abelschem Signal ($\chi = 1,0$), die jedoch extrem unterschiedliche LE-Werte aufweisen (Faktor >1000 Unterschied im spektralen Wachstum). Dies bestätigt, dass $\chi$ und LE unterschiedliche Informationen tragen.

B. Der "Fokussierte Ratchet" bei AR 11520

• Beobachtung: Bei der aktiven Region AR 11520 (X1.4 Flare) wurde in einem mittleren Aktivitäts-Bin ein Zustand gefunden, bei dem $\chi = 1,000$ (perfekte Vorzeichen-Konsistenz) und LE $\approx$ 0 war.
• Bedeutung: Trotz maximaler Vorzeichen-Konsistenz (was abelsch als "maximales Risiko" interpretiert würde) kollabiert das Burau-Produkt exakt auf die Identitätsmatrix (Spektralradius SR=1).
• Physikalische Interpretation: Dies entspricht der Bildung eines kohärenten, gebündelten magnetischen Flux-Ropes kurz vor dem Ausbruch. Die algebraische Auslöschung durch benachbarte Kreuzungen gleicher Vorzeichen (Proposition 3 der Begleitarbeit) wurde in realen physikalischen Daten beobachtet.

C. Subtypen der Konfinierung

Die Studie unterscheidet zwei Arten von konfinierten Flares (ohne CME):

1. Typ I (Helizitäts-Defizit, AR 12192): Geringe Chiralität, moderater LE. Die Einschränkung erfolgt durch ein Fehlen von topologischer Verwicklung.
2. Typ II (Überlagerndes Feld, AR 12371): Hohe Chiralität, hoher LE (sogar höher als bei eruptiven Regionen). Die Einschränkung erfolgt hier nicht durch fehlende Komplexität, sondern durch ein starkes äußeres Magnetfeld, das den Ausbruch unterdrückt ("Rate Limiter").

• Dies zeigt, dass die Zopf-Pipeline physikalisch unterschiedliche Mechanismen auflösen kann, die für abelsche Statistiken identisch erscheinen.

5. Bedeutung und Fazit

Das Papier beweist, dass die temporale Zopfgruppen-Analyse keine Artefakte synthetischer IAM-Daten sind, sondern eine universelle Eigenschaft von geflochtenen dynamischen Systemen darstellen.

• Universelle Gültigkeit: Der Burau-Lyapunov-Exponent kann strukturelle Regime (fokussiert vs. dispers) in Systemen unterscheiden, die völlig unterschiedliche physikalische Grundlagen haben (Cloud-Sicherheit vs. Plasmaphysik).
• Grenzen abelscher Methoden: Die Studie liefert einen starken Beleg dafür, dass abelsche Statistiken (wie Helizität oder Netto-Fluss) für die Vorhersage kritischer Ereignisse (Flares/Eskalationen) unzureichend sind, da sie die topologische Ordnung ignorieren.
• Stresstest: Da die Pipeline nicht für die Sonnenphysik trainiert oder angepasst wurde, sondern mit minimalen Anpassungen (nur Feature-Extraktion) angewendet wurde, stärkt das Ergebnis die Behauptung, dass die Methode robust und übertragbar ist.

Einschränkungen: Die Studie ist explorativ. Die räumliche Auflösung der SDO-Daten ist begrenzt (Kohärente Schleifen sind nur statistische Proxy-Stränge), und die zeitliche Abtastrate ist niedrig. Dennoch überlebte das kritische Signal der algebraischen Auslöschung (SR=1) diese Rauschbedingungen, was auf ein hohes Potenzial der Methode hindeutet.

Zusammenfassend dient die Sonne als "adversarialer Testbereich", der die theoretischen Ergebnisse der IAM-Sicherheit in der realen Physik validiert und damit die Notwendigkeit nicht-abelscher topologischer Indikatoren für die Sicherheitsanalyse untermauert.