Effiziente Verhaltensanalyse von moderner Schadsoftware
Die Sicherheit von IT-Systemen wird heutzutage massiv durch Cyber-Angriffe gefährdet, die in der Regel über Schadsoftware erfolgt. Die Anzahl solcher Schadprogramme ist in den letzten Jahren förmlich explodiert: mittlerweile existieren Millionen unterschiedlicher Viren, Würmer, Trojaner und Rootkits – und jeden Tag kommen Hunderttausende neuer Varianten hinzu. Zusätzlich zu vielen bekannten und relativ einfachen Schädlingen tauchen – mit steigender Tendenz – immer wieder einzigartige Schadcodes auf, die für gezielte Angriffe auf Großunternehmen, kritische Infrastrukturen und militärische Einrichtungen eingesetzt werden. Die Motive hinter solch fortgeschrittenen Angriffen reichen von Industriespionage und -sabotage bis zur Cyber-Kriegsführung. Um möglichst lange unentdeckt zu bleiben, entwickeln die Angreifer mit großem Aufwand einen maßgeschneiderten Code, der aufgrund seiner enormen Komplexität und den verwendeten Tarnungsmethoden von herkömmlichen Sicherheitslösungen kaum erkannt werden kann.
Ziel im Projekt VAMOS ist die Entwicklung neuartiger Techniken zur Analyse und Erkennung von hochkomplexem Schadcode. Grundlage ist dabei die Analysetechnologie des Verbundpartners VMRay: Hier werden unbekannte Dateien in einer virtuellen Umgebung ausgeführt, deren Verhalten wird detailliert aufgezeichnet und analysiert. Durch die hohe Präzision bei der Dokumentation fallen erheblich größere Datenmengen an, als bei bestehenden Analysesystemen. Basierend auf modernen Konzepten des maschinellen Lernens sollen Methoden entwickelt werden, die es ermöglichen, diese umfangreichen Daten effizient zu untersuchen und neuartige Schadprogramme und Angriffstechniken durch Anomalie-Erkennung aufzuspüren. Dafür müssen automatisch abstrakte Verhaltensmuster erkannt, neue von bereits bekannten unterschieden, und daraus charakteristische Verhaltensindikatoren abgeleitet werden. Im Anschluss können diese Indikatoren dann auch von herkömmlichen Sicherheitslösungen großflächig und effizient zur Schadcode-Erkennung eingesetzt werden.
In diesem Vorhaben sollen neuartige Sicherheitslösungen entstehen oder bestehende weiterentwickelt werden, die eine breite Nutzung in Unternehmen und Behörden erlauben. Analysen von hochspezialisiertem Schadcode in virtuellen Umgebungen und die automatische Ableitung von Indikatoren sind klare Alleinstellungsmerkmale auf dem internationalen IT-Sicherheitsmarkt. Dies erlaubt eine vielversprechende wirtschaftliche und wissenschaftliche Verwertung des Vorhabens.