ARES: Unüberwachtes Anomalie-Erkennungsmodell für Edge-Streams

In vielen realen Anwendungen, bei denen Daten kontinuierlich fließen, lässt sich die Situation als zeitlich verändernde Graphenstruktur darstellen. Das Ziel der Anomalieerkennung in diesem Kontext ist es, ungewöhnliche zeitliche Verbindungen innerhalb des Graphen zu identifizieren. Gerade bei Edge-Streams ist eine Echtzeit-Erkennung entscheidend, um potenzielle Risiken frühzeitig zu erkennen und zu mindern.

Im Gegensatz zu klassischen Anomalieerkennungsaufgaben stellen sich hier besondere Herausforderungen: Konzeptdrift, große Datenmengen und die Notwendigkeit einer sofortigen Reaktion. Um diesen Anforderungen gerecht zu werden, wurde das Modell ARES entwickelt – ein vollständig unüberwachtes Framework, das Graph Neural Networks (GNNs) zur Merkmalextraktion mit Half‑Space Trees (HST) zur Anomaliebewertung kombiniert.

Die GNNs erfassen sowohl spitze als auch burstartige Anomalien, indem sie Knoten- und Kanteneigenschaften in einen latenten Raum einbetten. Anschließend segmentiert die HST diesen Raum, um Anomalien effizient zu isolieren. ARES benötigt keine vorab gelabelten Daten und arbeitet vollständig ohne Überwachung.

Zur weiteren Validierung wird ein einfacher, aber wirkungsvoller Supervised‑Thresholding-Mechanismus eingesetzt. Dieser nutzt die statistische Streuung der Anomalie‑Scores, um mit minimalem gelabeltem Datensatz einen optimalen Schwellenwert zu bestimmen und so die Anpassungsfähigkeit an verschiedene Domänen sicherzustellen.

Die Leistungsfähigkeit von ARES wurde in umfangreichen Tests anhand mehrerer realer Cyberangriffsszenarien überprüft. Dabei zeigte das Modell eine überlegene Erkennungsrate im Vergleich zu bestehenden Methoden, während gleichzeitig die Speicher- und Laufzeitkomplexität niedrig gehalten wurde.