AI-Enhanced Intrusion Detection Systems with Enterprise Architecture Integration

Abstract

Unternehmen benötigen Intrusion-Detection-Systeme (IDS) die eine hohe Erkennungsqualität erreichen und sich zugleich nahtlos in gesteuerte, großskalige Architekturen integrieren. Diese Arbeit adressiert beide Anforderungen indem sie (i) ein LSTM-basiertes IDS entwickelt, dessen Hyperparameter mittels des Cheetah Optimization Algorithm (COA) abgestimmt werden, und (ii) ein TOGAF-ausgerichtetes Integrationsframework in ArchiMate vorschlägt, einschließlich einer expositorischen Instanziierung anhand des ArchiSurance-Falls. COA wurde als Tuner gewählt motiviert durch frühere Berichte über starke Leistungsfähigkeit unter Metaheuristiken.Methodisch kombiniert die Arbeit kontrollierte, simulationsbasierte Evaluation mit Enterprise-Architecture-(EA)-Modellierung sowie argumentbasierter Evaluation. Drei komplementäre Datensätze NSL-KDD, CIC IoT-DIAD 2024 und UM-NIDS—werden verwendet, um das Modell anhand gängiger Kennzahlen (Accuracy, Precision, Recall, F1, AUC) zu bewerten und das Inferenzverhalten zu charakterisieren. Das abgestimmte LSTM übertrifft innerhalb dieses experimentellen Rahmens konsequent eine nicht optimierte Basislinie und behält zugleich eine für operative Pipelines geeignete Rechenökonomie bei.Auf der Architekturseite kartiert das Framework Erkennungsdienste, Datenflüsse und Governance-Kontrollen über Geschäfts-, Anwendungs-, Technologie- und Motivationsebenen und stellt so vertikale Rückverfolgbarkeit von Anforderungen bis zur Umsetzung sicher. Die ArchiMate-Sichten und die dazugehörigen Design Propositionen Ausrichtung, Konsistenz/Integrität, Skalierbarkeit, Vollständigkeit und Nutzwert—zeigen wie ein KIgestütztes IDS in organisatorische Prozesse und Werkzeuge eingebettet werden kann ohne ein isoliertes technisches Artefakt zu bleiben.Die Arbeit leistet folgende Beiträge: (1) eine durchgängige, reproduzierbare Pipeline für Training, Tuning und Evaluation eines KI-basierten IDS, (2) ein TOGAF ausgerichtetes Integrationsframework mit instanziiertem, praxisorientiertem Modellierungspaket, und (3) eine klare Begründung der gewählten Forschungsmethoden sowie der Vorteile, die sie im Rahmen einer Masterarbeit bieten. Zukünftige Arbeiten umfassen eine naturalistische Expertenvalidierung, eine gestufte Pilotierung in realitätsnahen Umgebungen sowie Erweiterungen für Drift-Handling, Erklärbarkeit und SOC-Automatisierung.

Enterprises require intrusion detection systems (IDS) that achieve strong detection quality while integrating cleanly into governed and large-scale architectures. This thesis addresses both needs by (i) developing a Long Short-Term Memory (LSTM)–based IDS with hyperparameters tuned via the Cheetah Optimization Algorithm (COA), and (ii) proposing a TOGAF-aligned integration framework expressed in ArchiMate and including an expository instantiation using the ArchiSurance case. COA was selected as the tuner and motivated by prior reports of strong performance among metaheuristics.Methodologically, the work combines controlled and simulation-based evaluation with enterprise architecture (EA) modeling and considered also argument-based evaluation.Three complementary datasets NSL-KDD with CIC IoT-DIAD 2024 and UM-NIDS which are used to assess the model under standard metrics (accuracy, precision, recall, F1, AUC) and to characterize inference behavior. The tuned LSTM consistently outperforms a non-optimized baseline within this experimental scope while maintaining computational efficiency suitable for operational pipelines.On the architectural side the framework maps detection services with data flows and also governance controls across business, application, technology, and motivation layers which is ensuring vertical traceability from requirements to implementation. The ArchiMate views and corresponding design propositions covering alignment, consistency/integrity, scalability, completeness, and utility demonstrate how an AI-driven IDS can be embedded into organizational processes and tooling without remaining an isolated technical artifact.The thesis contributes: (1) an end-to-end reproducible pipeline for AI-driven IDS training, tuning, and evaluation, (2) a TOGAF-aligned integration framework with an instantiated and practitioner oriented modeling package, and (3) a clear rationale for the chosen research methods and the benefits they provide at the master’s-thesis scope. Future work includes naturalistic expert validation with a pilot deployment in staged environments and extensions for drift handling considering explainability and SOC automation.