Kursbeschreibung
Dieses Expert-Seminar ist für alle gedacht, die Malware-Analyse und Detection Engineering mit KI so verbinden wollen, dass daraus ein wiederholbarer Prozess entsteht. Du arbeitest nicht an isolierten Modellen, sondern an einer Pipeline, die Datenqualität, Analyse, Bewertung und Betrieb zusammenbringt. Zuerst schärfst du den Blick auf Angriffslogik: Welche TTPs in Logs sichtbar werden, wie Angreiferinnen und Angreifer legitime Tools missbrauchen und warum klassische IOC-Listen gegen schnelle Variantenbildung oft nicht reichen. Im nächsten Schritt legst du die Datenbasis fest. Du lernst, welche Telemetrie aus EDR, Sysmon, Windows Event Logs und Netzwerkflüssen die besten Signale liefert, wie du Labels und Ground Truth aufsetzt und wie du Datenschutz und Zugriffskonzepte in die Pipeline integrierst. Danach gehst du in die statische Analyse: PE-Metadaten, Imports, Sections und Strings, ergänzt um Embeddings, die auch bei Variantenbildung nützlich bleiben. Du diskutierst typische Failure-Modes bei Packers und Obfuscation und wie du Merkmale wählst, die weniger leicht zu manipulieren sind. In der dynamischen Analyse baust du Verhaltenserkennung aus Sandbox-Artefakten, Prozessketten, API-Calls und Netzwerkindikatoren. Du setzt supervised Verfahren dort ein, wo Labels belastbar sind, und ergänzt sie durch Unsupervised Detection, um neue Familien oder Kampagnenmuster zu finden. Abschließend bringst du die Ergebnisse in den Betrieb: Evaluation mit passenden Metriken, Alert-Triage, Integration in SIEM/SOAR und saubere Incident-Berichte. LLMs nutzt du als Beschleuniger für Triage und Regelentwürfe, aber mit Schutz vor Prompt-Injection und Datenabfluss sowie konsequentem Human-in-the-Loop.
Zielgruppe
- Security Analysts im SOC und CSIRT
- Incident Responder und Threat Hunter
- Detection Engineers und SIEM-Content-Owner
- Malware-Analystinnen und Malware-Analysten mit Praxisbezug zu Logs und Telemetrie
- Alle, die KI-basierte Malware-Erkennung belastbar in den Betrieb bringen wollen
Voraussetzung für die Schulung
- Sehr gute Grundlagen in IT-Security, Windows- und Netzwerk-Telemetrie sowie Log-Analyse.
- Grundverständnis von Machine Learning (z.B. Features, Training, Overfitting) ist erforderlich.
Kursinhalte
- Threat Landscape und Angriffslogik verstehen
- Taktiken, Techniken und Prozeduren (TTPs) in Detection übersetzen
- Commodity-Malware vs. zielgerichtete Kampagnen
- Living-off-the-Land und Missbrauch legitimer Tools
- Was KI in der Malware-Analyse wirklich leistet
- Datenbasis für KI-Detection aufbauen
- Telemetrie: EDR, Sysmon, Windows Event Logs, Netzwerkflüsse
- Labeling-Strategien und Ground Truth ohne Selbstbetrug
- Feature Engineering: Sequenzen, Graphen, Zeitreihen
- Datenschutz, Aufbewahrung, Zugriffskonzepte
- Statische Analyse mit ML-Features
- PE-Metadaten, Imports, Strings, Sections
- YARA als Feature-Quelle und als Kontrollinstanz
- Embeddings für Byte-/Opcode-N-Grams
- Packers, Obfuscation und robuste Merkmale
- Dynamische Analyse und Verhaltenserkennung
- Sandboxing: Artefakte, API-Calls, Prozessketten
- Sequenzmodelle für Prozess- und Event-Reihen
- Command-and-Control Muster in Netzwerkdaten
- Anti-VM und Evasion: Grenzen und Gegenmaßnahmen
- Unsupervised Detection und Anomalie-Methoden
- Baselining und Drift: wann „normal“ kippt
- Clustering für Malware-Familien und Kampagnen
- Isolation Forest, Autoencoder, One-Class Ansätze
- Alert-Triage: Priorisierung statt Alarmflut
- LLMs für Analystenarbeit, aber sicher
- LLM-gestützte Triage: Zusammenfassen von Artefakten
- Regel- und Query-Generierung (Sigma, KQL) mit Guardrails
- Prompt-Injection und Datenabfluss vermeiden
- Human-in-the-Loop und Review-Workflows
- Operationalisierung: vom Modell zur Detection
- Evaluation: Precision/Recall, Kosten von False Positives
- Threat-Informed Testing und kontinuierliche Validierung
- Deployment-Patterns: Batch, Streaming, SIEM/SOAR
- Incident-Readiness: Beweise sichern und berichten
