Gut und Böse im Internet: Von Schwierigkeiten, schädliche Programme zu erkennen bevor etwas passiert

McAfee spricht von bis zum Jahr 2012 insgesamt 100.000.000 schädlichen Programmen in seinem Malware-Zoo. Hersteller von Antiviren-Software aktualisieren kontinuierlich ihre Sammlung, um Kunden zu schützen.

Meist liegen dann bereits Schadensmeldungen vor. Wie jedoch kann man „Gut“ von „Böse“ unterscheiden, bevor etwas passiert? Informatiker wie Michael Meier, neuberufener Professor an der Universität Bonn, arbeiten an einem automatisierten Ansatz, der das Verhalten der Programme unter die Lupe nimmt.

Täglich 100.000 neue Proben

Kurz wähnt man sich tatsächlich in einer Vorlesung zur Zoologie, wenn von Würmern und Bakterien, Kaninchen (einem Sabotageprogramm) und Whaling (einer gezielten Attacke gegen Führungskräfte) die Rede ist. Es gibt eine Artenvielfalt schädlicher Software und täglich erscheinen rund 100.000 neue Proben, so Michael Meier, Professor für Informatik an der Universität Bonn. Trotz unterschiedlicher Erscheinungsformen lassen sich die Exemplare der gesammelten Schadsoftware einigen Familien oder Arten zuordnen, wenn sie eine ähnliche Funktionalität, d.h. ähnliche Eigenschaften und Aufgaben haben.

Programme in der Sandbox

Was schädliche Programme ausmacht, können Informatiker in einer abgeschlossenen Testumgebung beobachten – einer sogenannten „Sandbox“. Wichtig ist, dass sich die schädlichen Programme natürlich verhalten und zugleich keinen Schaden anrichten können. In der virtuellen Umgebung beobachten Informatiker Merkmale der Programme und versuchen, mögliche Kriterien für Malware abzuleiten. Zum Beispiel kann das die Anzahl und Art der Systemaufrufe sein, die das Programm abgibt. Systemaufrufe sind Aufforderungen eines Programms an das Betriebssystem, etwa auf Dateien oder die Hardware zuzugreifen.

Malware-Familie mit charakteristischem Erkennungsmuster

Da auch harmlose Programme Systemaufrufe abgeben, vergleichen Informatiker in einem zweiten Schritt verschiedene Programme, harmlose wie schädliche, auf der Suche nach Unterscheidungsmöglichkeiten. Mittels eines Cluster-Verfahrens werden verhaltensähnliche Programme gruppiert und Malware-Arten/Familien ausgemacht. Diese erhalten ein charakteristisches Erkennungsmuster – eine Signatur, die hilft, zugehörige Mitglieder zu identifizieren. Neue und potenziell schädliche Programme durchlaufen einen Erkennungsprozess, an den sich möglicherweise eine Warnung anschließt.

Frühwarnsystem AMSEL

Wie häufig Angriffe im Netz sind, zeigt die Statistik des Frühwarnsystems AMSEL (Automatisch Malware Sammeln und Erkennen Lernen), das Prof. Meier an der Technischen Universität Dortmund in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt hat: Der Prototyp von AMSEL mit Malware-Kollektoren auf mehreren Tausend IP-Adressen hat in den letzten drei Jahren über 106.910.920 Angriffe und 35.460 verschiedene Malware-Proben gesammelt.

Über das Projekt AMSEL, vielfältige Angriffsarten, sowie ihre Analyse und Erkennung berichtete Prof. Michael Meier bei seiner Antrittsvorlesung in der Universität Bonn. Prof. Meier bringt seine Erfahrung im Gebiet Cyber Security auch in das Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE in Wachtberg und Bonn ein, wo er den Arbeitsbereich zum Thema leitet.

Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE
Fraunhoferstraße 20 | 53343 Wachtberg | http://www.fkie.fraunhofer.de
Kontakt: Prof. Michael Meier | Telefon +49 228 7354249 | michael.meier@fkie.fraunhofer.de

Presse: Bernhard Kleß | Telefon +49 228 9435-219 | bernhard.kless@fkie.fraunhofer.de

Media Contact

Bernhard Kleß Fraunhofer-Institut

Weitere Informationen:

http://www.fkie.fraunhofer.de

Alle Nachrichten aus der Kategorie: Informationstechnologie

Neuerungen und Entwicklungen auf den Gebieten der Informations- und Datenverarbeitung sowie der dafür benötigten Hardware finden Sie hier zusammengefasst.

Unter anderem erhalten Sie Informationen aus den Teilbereichen: IT-Dienstleistungen, IT-Architektur, IT-Management und Telekommunikation.

Zurück zur Startseite

Kommentare (0)

Schreiben Sie einen Kommentar

Neueste Beiträge

Neues topologisches Metamaterial

… verstärkt Schallwellen exponentiell. Wissenschaftlerinnen und Wissenschaftler am niederländischen Forschungsinstitut AMOLF haben in einer internationalen Kollaboration ein neuartiges Metamaterial entwickelt, durch das sich Schallwellen auf völlig neue Art und Weise…

Astronomen entdecken starke Magnetfelder

… am Rand des zentralen schwarzen Lochs der Milchstraße. Ein neues Bild des Event Horizon Telescope (EHT) hat starke und geordnete Magnetfelder aufgespürt, die vom Rand des supermassereichen schwarzen Lochs…

Faktor für die Gehirnexpansion beim Menschen

Was unterscheidet uns Menschen von anderen Lebewesen? Der Schlüssel liegt im Neokortex, der äußeren Schicht des Gehirns. Diese Gehirnregion ermöglicht uns abstraktes Denken, Kunst und komplexe Sprache. Ein internationales Forschungsteam…

Partner & Förderer