Die meisten der heute verfügbaren Sicherheitslösungen sind auf den Schutz einer Reihe spezifischer Bedrohungen zugeschnitten und können nur auf eine bestimmte Anwendungsdomäne angewendet werden. Aber selbst zwischen unterschiedlichen Anwendungsbereichen gibt es erhebliche Gemeinsamkeiten, was darauf hinweist, dass eine allgemein anwendbare Lösung zum Erreichen eines hohen Schutzniveaus möglich ist. Tatsächlich betreiben Unternehmens-IT, Embedded Systems, Industrie 4.0, Energienetze, etc. miteinander verbundene Systeme, die vordefinierten Prozessen folgen und nach bestimmten Nutzungsrichtlinien eingesetzt werden. Die Ereignisse, die von Prozessen auf diesen Systemen generiert werden, werden normalerweise für Wartungs- und Prüfzwecke aufgezeichnet. Solche Aufzeichnungen enthalten wertvolle Informationen, um Inkonsistenzen oder Abweichungen im Prozess zu erkennen und Anomalien aufzuzeigen, die durch Angriffe, Fehlkonfigurationen oder Komponentenfehler verursacht werden. Die Syntax, Semantik, Häufigkeit, Informationsentropie und der Detaillierungsgrad dieser Datensätze variieren jedoch dramatisch, und es gibt noch keine einheitliche Lösung, die alle verschiedenen Dialekte versteht und eine zuverlässige Anomalieerkennung (AD) darauf aufbauend durchführen kann.
Modernste Intrusion Detection Systeme in der Enterprise-IT verwenden White-Listing-Ansätze, die auf AD basieren, Ereignisse innerhalb eines Systems beobachten und automatisch eine Basis für normales Benutzer- und Systemverhalten erstellen. Jede Abweichung von diesem normalen Verhalten löst eine Warnung aus. Zwar gibt es zahlreiche verhaltensbasierte AD-Ansätze in der Enterprise-IT, sie sind jedoch nicht ohne weiteres auf andere Domänen, beispielsweise Embedded Systems, anwendbar. Der Grund ist, dass diese AD-Ansätze in der Regel für spezifische Anwendungsbereiche optimiert sind, aber nicht adaptiv genug sind, um allgemein anwendbar zu sein. Die meisten erfordern detailliertes Fachwissen des Anwendungsbereichs und sind kostspielig einzurichten und zu warten. Darüber hinaus analysieren sie oft nur den Netzwerkverkehr, was aufgrund der weiten Verbreitung von Ende-zu-Ende-Verschlüsselung zunehmend unwirksam wird. Somit sind allgemein anwendbare AD-Lösungen, die unstrukturierte textuelle Ereignisprotokolle direkt von den Geräten (z.B. Computer, Kamera, Steuerung) verwenden, eine vielversprechende Lösung.

DECEPT bietet einen allgemein anwendbaren domänenübergreifenden Anomalie-Erkennungsansatz, der unstrukturierte Text-basierte Ereignisprotokolle überwacht und selbstständiges Maschinenlernen von Systemverhaltensprozessen implementiert. Ein intelligenter Parser-Generator wurde entworfen, um ein Modell des normalen Systemverhaltens zu erstellen. Darüber hinaus wurden Konzepte für ein AD-Modul entwickelt, das Korrelationsregeln, Zeitreihenanalysen und statistische Regeln zur Erkennung von Abweichungen vom normalen Systemverhalten anwendet. In DECEPT wurde im Rahmen eines Machbarkeitsnachweises die generelle Anwendbarkeit des AD-Verfahrens in zwei unabhängigen Anwendungsbereichen demonstriert: (i) Enterprise IT Security, insb. die Absicherung von Web Servern, und (ii) Embedded Systems/IoT Security, hier insb. die Absicherung von Gebäudemanagementsystemen. Da moderne Angriffe häufig Schwachstellen in verschiedenen Bereichen ausnutzen, müssen Sicherheitsprozesse so aufeinander abgestimmt werden, dass rechtzeitig auf mögliche Angriffe reagiert werden kann. Einige Beispiele für solche Angriffe sind die Fernmanipulation von IP-Protokoll-basierten Zugriffssteuerungssystemen zur Unterstützung von physischem Einbruch oder der physische Zugriff auf und die Manipulation von Switches, um sie für Cyber-Angriffe verwundbar zu machen. So wurde in DECEPT neben dem allgemein anwendbaren AD-System auch exemplarisch ein Konzept für ein kombiniertes Enterprise IT-Security- und IT-gestütztes Facility-Security-Control-Center entworfen (cross-domain use case), implementiert und validiert, das als Vorlage für die Anwendung des DECEPT-Ansatzes in weiteren Bereichen dienen kann. Schließlich wurden in DECEPT rechtliche Aspekte und Datenschutzrichtlinien für die Datennutzung und -speicherung bereitgestellt, die mit Bezug auf die DSGVO hochrelevant sind.

Ein Projekt finanziert im Rahmen der 7. Ausschreibung des Programms IKT der Zukunft.