idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
Man nennt sie Viren, Würmer, Bakterien, trojanische Pferde oder Kaninchen: Täglich gibt es zigtausende neue schädliche Programme, auch „Malware“. McAfee spricht von bis zum Jahr 2012 insgesamt 100.000.000 schädlichen Programmen in seinem Malware-Zoo. Hersteller von Antiviren-Software aktualisieren kontinuierlich ihre Sammlung, um Kunden zu schützen. Meist liegen dann bereits Schadensmeldungen vor. Wie jedoch kann man „Gut“ von „Böse“ unterscheiden, bevor etwas passiert? Informatiker wie Michael Meier, neuberufener Professor an der Universität Bonn, arbeiten an einem automatisierten Ansatz, der das Verhalten der Programme unter die Lupe nimmt.
Täglich 100.000 neue Proben
Kurz wähnt man sich tatsächlich in einer Vorlesung zur Zoologie, wenn von Würmern und Bakterien, Kaninchen (einem Sabotageprogramm) und Whaling (einer gezielten Attacke gegen Führungskräfte) die Rede ist. Es gibt eine Artenvielfalt schädlicher Software und täglich erscheinen rund 100.000 neue Proben, so Michael Meier, Professor für Informatik an der Universität Bonn. Trotz unterschiedlicher Erscheinungsformen lassen sich die Exemplare der gesammelten Schadsoftware einigen Familien oder Arten zuordnen, wenn sie eine ähnliche Funktionalität, d.h. ähnliche Eigenschaften und Aufgaben haben.
Programme in der Sandbox
Was schädliche Programme ausmacht, können Informatiker in einer abgeschlossenen Testumgebung beobachten – einer sogenannten „Sandbox“. Wichtig ist, dass sich die schädlichen Programme natürlich verhalten und zugleich keinen Schaden anrichten können. In der virtuellen Umgebung beobachten Informatiker Merkmale der Programme und versuchen, mögliche Kriterien für Malware abzuleiten. Zum Beispiel kann das die Anzahl und Art der Systemaufrufe sein, die das Programm abgibt. Systemaufrufe sind Aufforderungen eines Programms an das Betriebssystem, etwa auf Dateien oder die Hardware zuzugreifen.
Malware-Familie mit charakteristischem Erkennungsmuster
Da auch harmlose Programme Systemaufrufe abgeben, vergleichen Informatiker in einem zweiten Schritt verschiedene Programme, harmlose wie schädliche, auf der Suche nach Unterscheidungsmöglichkeiten. Mittels eines Cluster-Verfahrens werden verhaltensähnliche Programme gruppiert und Malware-Arten/Familien ausgemacht. Diese erhalten ein charakteristisches Erkennungsmuster – eine Signatur, die hilft, zugehörige Mitglieder zu identifizieren. Neue und potenziell schädliche Programme durchlaufen einen Erkennungsprozess, an den sich möglicherweise eine Warnung anschließt.
Frühwarnsystem AMSEL
Wie häufig Angriffe im Netz sind, zeigt die Statistik des Frühwarnsystems AMSEL (Automatisch Malware Sammeln und Erkennen Lernen), das Prof. Meier an der Technischen Universität Dortmund in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt hat: Der Prototyp von AMSEL mit Malware-Kollektoren auf mehreren Tausend IP-Adressen hat in den letzten drei Jahren über 106.910.920 Angriffe und 35.460 verschiedene Malware-Proben gesammelt.
Über das Projekt AMSEL, vielfältige Angriffsarten, sowie ihre Analyse und Erkennung berichtete Prof. Michael Meier bei seiner Antrittsvorlesung in der Universität Bonn. Prof. Meier bringt seine Erfahrung im Gebiet Cyber Security auch in das Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE in Wachtberg und Bonn ein, wo er den Arbeitsbereich zum Thema leitet.
Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE
Fraunhoferstraße 20 | 53343 Wachtberg | http://www.fkie.fraunhofer.de
Kontakt: Prof. Michael Meier | Telefon +49 228 7354249 | michael.meier@fkie.fraunhofer.de
Presse: Bernhard Kleß | Telefon +49 228 9435-219 | bernhard.kless@fkie.fraunhofer.de
http://www.fkie.fraunhofer.de/de/presse/pressemitteilungen-2012/amsel.html - Pressemitteilung
http://www.fkie.fraunhofer.de/cd - Abteilung Cyber Defense im Fraunhofer-Institut FKIE
Logo des Projekts "AMSEL": Automatisch Malware Sammeln und Erkennen Lernen
(c) Prof. Michael Meier, Fraunhofer FKIE
None
Prof. Michael Meier, Fraunhofer FKIE
None
Merkmale dieser Pressemitteilung:
Journalisten, Wissenschaftler
Informationstechnik, Mathematik
überregional
Forschungsergebnisse, Forschungsprojekte
Deutsch
Logo des Projekts "AMSEL": Automatisch Malware Sammeln und Erkennen Lernen
(c) Prof. Michael Meier, Fraunhofer FKIE
None
Prof. Michael Meier, Fraunhofer FKIE
None
Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.
Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).
Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.
Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).
Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).
