APT-Sweeper

Identifizierung von Malware basierend auf Analysen des Übertragungskontextes von Datenströmen

Zielgerichtete Angriffe sind auf ihre Opfer zugeschnitten und mit herkömmlichen Sicherheitslösungen praktisch nicht zu erkennen. © Fotolia

Motivation

In unserer vernetzten Welt ist eine effektive Abwehr digitaler Gefahren von zentraler Bedeutung. Seit einiger Zeit rückt dabei der Schutz vor einer neuen Klasse von Bedrohungen zunehmend in den Vordergrund. Sogenannte gezielte informationstechnische Angriffe (Advanced Persistent Threats, APTs) werden typischerweise auf die attackierten Personen und Institutionen maßgeschneidert. Sie nutzen häufig bisher unbekannte Lücken aus, die auch als Zero Day Exploits bezeichnet werden. Der Verfassungsschutz sowie andere Institutionen warnen bereits seit einigen Jahren eindringlich vor der Gefahr der Wirtschaftsspionage durch APTs, welche von fremden Geheimdiensten und kriminellen Organisationen ausgeht. Um Regierungseinrichtungen und auch die deutsche Wirtschaft vor derartigen Bedrohungen wirksam zu schützen, beschäftigt sich das Projekt „APT-Sweeper“ mit der zielgerichteten informationstechnischen Erkennung und effektiven Abwehr von diesen Angriffen.

Ziele und Vorgehen

Datenströme bestehen immer aus Informationen über Inhalt der Nachricht und Kontext der Nachricht (Metadaten, Protokoll-Daten, Uhrzeit etc.). Klassische Ansätze der Identifizierung von Malware basieren auf einer Analyse des Inhaltes anfallender Datenströme. Dieses Vorgehen ist in vielen Bereichen aus datenschutzrechtlichen Gründen jedoch nur bedingt möglich oder scheitert daran, dass Inhalte zugriffsgeschützt in verschlüsselter Form vorliegen. Im Projekt APT-Sweeper dagegen wird der Übertragungskontext analysiert. Da die Malware in verschiedenen Komponenten des Kontextes versteckt sein kann, werden fortgeschrittene Techniken des maschinellen Lernens mit Ansätzen zur Filterung von komplexen Datenströmen kombiniert. So können sowohl der Kontext als auch die formatspezifische Struktur von Inhalten in der Analyse berücksichtigt werden. Zusätzlich wird so die Erkennung fremdartiger Inhalte möglich, ohne auf extensives Vorwissen über bisherige Angriffe angewiesen zu sein.

Innovationen und Perspektiven

Die in APT-Sweeper verfolgte Analyse des Übertragungskontextes stellt eine datenschutzfreundliche und effektive Alternative zu bisherigen Ansätzen dar. Sie erlaubt es, Charakteristiken von gezielten informationstechnischen Angriffen zu extrahieren und die Malwareerkennung in Bereichen nutzbar zu machen, die einer inhaltsbasierten Analyse nicht zugänglich sind. Die im Projekt erzielte Integration in bestehende Firewall- und Intrusion Detection Systeme sorgt dabei für eine direkte Nutzbarkeit der Ergebnisse für Regierungseinrichtungen und für die deutsche Wirtschaft. Dies trägt zu einer wirksamen Erhöhung der IT-Sicherheit auch gegenüber neuartigen, unbekannten informationstechnischen Bedrohungen bei. Das Projekt APT-Sweeper demonstriert somit auch die Innovationskraft kleiner und mittlerer Unternehmen der deutschen IT-Sicherheitsindustrie.