MalwareDef– Erkennen durch Verhaltensbeschreibung

Formale Beschreibungen von potentiell bösartigen Aktionen werden auf einem höheren Abstraktionsniveau als bisher erarbeitet, um proaktive Abwehrmaßnahmen entwickeln zu können.

Neue Gefahren...

Ein wesentlicher Teilbereich der Cybersecurity und des Schutzes der IT-Infrastuktur ist die Erkennung und Bekämpfung von Malware. Derzeit eingesetzte Abwehrmaßnahmen gegen Malware (Antivirenprogramme und Intrusion Detection Systeme) arbeiten hauptsächlich signaturbasiert und können daher nur mit bereits bekannten Schadprogrammen erfolgreich umgehen. Durch den Einsatz polymorpher und metamorpher Techniken werden unzählige immer neue Varianten einer Malware erzeugt, die alle unterschiedliche Signaturen besitzen, sich funktional aber gleichartig verhalten. Damit stellen sie ein erhebliches Problem für Antiviren-Software dar.

... und neue Abwehrmaßnahmen

Ziel dieses Projekts ist es, formale high-level Definitionen von potentiell bösartigen Aktionen unabhängig von bereits aufgetretenen Schadprogrammen zu entwickeln. Mit Hilfe dieser Definitionen kann dann ein Instrumentarium proaktiver Abwehrmaßnahmen entwickelt werden, um auch bislang noch nicht aufgetretene Formen bekannter Schadprogramme sowie neuartige Bedrohungen möglichst schnell und effizient als Angriff erkennen, analysieren und entsprechende Abwehrmaßnahmen einleiten zu können. Als Startpunkt des Projekts wird überdies eine sozialwissenschaftliche Vorab-Analyse der gesellschaftlichen und rechtlichen Rahmenbedingungen durchgeführt, um das Projekt innerhalb der Interessenslagen der beteiligten Stakeholder geeignet verorten zu können.

Formale Verhaltensbeschreibung zur Erkennung von Malware

Es werden verschiedene formale Beschreibungsverfahren auf ihre Eignung für diesen Zweck hin untersucht. Dabei werden einerseits verhaltensbasierte Analysen bisher aufgetretener Schadsoftware und andererseits typische Angriffsvektoren als Ausgangspunkt genommen. Für den weiteren Verlauf des Projekts wird ein Verfahren gewählt und entsprechend weiterentwickelt. Die zentralen Ergebnisse des Projekts sind eine Datenbank formaler Definitionen von Malware Aktionen sowie ein Prototyp, der unbekannte bzw. verdächtige Code Samples dahingehend überprüft, ob sie einer der gespeicherten Definitionen entsprechen.

Parallel zur Projektdurchführung werden Folgeabschätzungsaspekte und ethische Implikationen der vorgeschlagenen technischen Lösungen vom  Institut für Medienwirtschaft durch FH Prof. Dr. Michael Litschka und FH Prof. Dr. Tassilo Pellegrini untersucht.

Publikationen

Tavolato, P. (2015, November 5). MalwareDef - Malware (Schadsoftware) Erkennung. 5. KIRAS Fachtagung, Wien.
Dornhackl, H., Kadletz, K., Luh, R., & Tavolato, P. (2014). Malicious Behavior Patterns. CyberPatterns 2014: 8th International Symposium on service-Oriented System Engineering. https://doi.org/10/gh3748
Luh, R., & Tavolato, P. (2012). Behavior-Based Malware Recognition. 6. Forschungsforum Der Österreichischen Fachhochschulen - Tagungsband 1 Informationstechnologie Als Produktionsfaktor, 79–84.
Externe Projektleitung
FH-Prof. Dipl.-Ing. Dr. Paul Tavolato
Externe MitarbeiterInnen
Kadletz Konstantin
Hermann Dornhackl
PartnerInnen
  • Ikarus Security Software GmbH
  • Bundesministerium für Landesverteidigung und Sport
  • Bundesministerium für Inneres
Finanzierung
KIRAS - Sicherheitsforschung
Laufzeit
01.10.2012 – 30.09.2014
Projektstatus
abgeschlossen
Beteiligte Institute, Gruppen und Zentren
Forschungsgruppe Secure Societies
Institut für IT Sicherheitsforschung
Institute for Innovation Systems