Schattenblick →INFOPOOL →NATURWISSENSCHAFTEN → TECHNIK

INFORMATIONSTECHNOLOGIE/783: Projekt AMSEL - Schädliche Programme erkennen bevor etwas passiert (idw)


Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE - 20.12.2012

Gut und Böse im Internet: Von Schwierigkeiten, schädliche Programme zu erkennen bevor etwas passiert



Man nennt sie Viren, Würmer, Bakterien, trojanische Pferde oder Kaninchen: Täglich gibt es zigtausende neue schädliche Programme, auch "Malware". McAfee spricht von bis zum Jahr 2012 insgesamt 100.000.000 schädlichen Programmen in seinem Malware-Zoo. Hersteller von Antiviren-Software aktualisieren kontinuierlich ihre Sammlung, um Kunden zu schützen. Meist liegen dann bereits Schadensmeldungen vor. Wie jedoch kann man "Gut" von "Böse" unterscheiden, bevor etwas passiert? Informatiker wie Michael Meier, neuberufener Professor an der Universität Bonn, arbeiten an einem automatisierten Ansatz, der das Verhalten der Programme unter die Lupe nimmt.


Täglich 100.000 neue Proben

Kurz wähnt man sich tatsächlich in einer Vorlesung zur Zoologie, wenn von Würmern und Bakterien, Kaninchen (einem Sabotageprogramm) und Whaling (einer gezielten Attacke gegen Führungskräfte) die Rede ist. Es gibt eine Artenvielfalt schädlicher Software und täglich erscheinen rund 100.000 neue Proben, so Michael Meier, Professor für Informatik an der Universität Bonn. Trotz unterschiedlicher Erscheinungsformen lassen sich die Exemplare der gesammelten Schadsoftware einigen Familien oder Arten zuordnen, wenn sie eine ähnliche Funktionalität, d.h. ähnliche Eigenschaften und Aufgaben haben.


Programme in der Sandbox

Was schädliche Programme ausmacht, können Informatiker in einer abgeschlossenen Testumgebung beobachten - einer sogenannten "Sandbox". Wichtig ist, dass sich die schädlichen Programme natürlich verhalten und zugleich keinen Schaden anrichten können. In der virtuellen Umgebung beobachten Informatiker Merkmale der Programme und versuchen, mögliche Kriterien für Malware abzuleiten. Zum Beispiel kann das die Anzahl und Art der Systemaufrufe sein, die das Programm abgibt. Systemaufrufe sind Aufforderungen eines Programms an das Betriebssystem, etwa auf Dateien oder die Hardware zuzugreifen.


Malware-Familie mit charakteristischem Erkennungsmuster

Da auch harmlose Programme Systemaufrufe abgeben, vergleichen Informatiker in einem zweiten Schritt verschiedene Programme, harmlose wie schädliche, auf der Suche nach Unterscheidungsmöglichkeiten. Mittels eines Cluster-Verfahrens werden verhaltensähnliche Programme gruppiert und Malware-Arten/Familien ausgemacht. Diese erhalten ein charakteristisches Erkennungsmuster - eine Signatur, die hilft, zugehörige Mitglieder zu identifizieren. Neue und potenziell schädliche Programme durchlaufen einen Erkennungsprozess, an den sich möglicherweise eine Warnung anschließt.


Frühwarnsystem AMSEL

Wie häufig Angriffe im Netz sind, zeigt die Statistik des Frühwarnsystems AMSEL (Automatisch Malware Sammeln und Erkennen Lernen), das Prof. Meier an der Technischen Universität Dortmund in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt hat: Der Prototyp von AMSEL mit Malware-Kollektoren auf mehreren Tausend IP-Adressen hat in den letzten drei Jahren über 106.910.920 Angriffe und 35.460 verschiedene Malware-Proben gesammelt.

Über das Projekt AMSEL, vielfältige Angriffsarten, sowie ihre Analyse und Erkennung berichtete Prof. Michael Meier bei seiner Antrittsvorlesung in der Universität Bonn. Prof. Meier bringt seine Erfahrung im Gebiet Cyber Security auch in das Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE in Wachtberg und Bonn ein, wo er den Arbeitsbereich zum Thema leitet.

Weitere Informationen unter:
http://www.fkie.fraunhofer.de/de/presse/pressemitteilungen-2012/amsel.html
- Pressemitteilung

http://www.fkie.fraunhofer.de/cd
- Abteilung Cyber Defense im Fraunhofer-Institut FKIE

Kontaktdaten zum Absender der Pressemitteilung unter:
http://idw-online.de/de/institution1552

*

Quelle:
Informationsdienst Wissenschaft e. V. - idw - Pressemitteilung
Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und
Ergonomie FKIE, Bernhard Kleß, 20.12.2012
WWW: http://idw-online.de
E-Mail: service@idw-online.de


veröffentlicht im Schattenblick zum 22. Dezember 2012