FH St. Pölten forscht an verhaltensbasierender Malware-Erkennung FH St. Pölten forscht an verhaltensbasierender Malware-Erkennung - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


09.07.2013 Rudolf Felser

FH St. Pölten forscht an verhaltensbasierender Malware-Erkennung

Klassische Anti-Virenprogramme stoßen immer häufiger an ihre Grenzen. Damit ein Virenschutz ein Schadprogramm erkennt, muss dieses bereits bekannt sein. Doch es tauchen immer neue schädliche Programme auf, die sich außerdem ständig verändern. Die Fachhochschule St. Pölten arbeitet im Projekt "MalwareDef" an Methoden, um neue, noch unbekannte Gefahren zu erkennen.

Die Zahl an Viren steigert sich rasant, ihre Erkennung wird immer schwieriger.

Die Zahl an Viren steigert sich rasant, ihre Erkennung wird immer schwieriger.

© JRB - Fotolia.com

Die Anzahl der Attacken und der im Umlauf befindlichen Schadprogramme wächst rasant. Derzeit sammeln IT-Sicherheitsfirmen 50.000 bis 100.000 Verdachtsfälle pro Tag. Vieles davon scheidet bei genauerer Prüfung wieder aus, doch das Überprüfen durch Schutzprogramme und deren Aktualisierung werden immer aufwendiger – die Rechner werden dadurch langsamer. Von den gängigen Virenschutzprogrammen werden Gefahren derzeit vor allem nach dem Aussehen der Bedrohung beurteilt – heuristische Methoden sind noch am Anfang. Weiterhin werden hauptsächlich Signaturen, Teile des Codes des schädlichen Programms, gesucht. Doch dafür muss die Gefahr bereits bekannt sein.
 
"Das ist so, wie wenn man einen Verbrecher oder eine Verbrecherin in der Datenbank der Polizei sucht: Dort enthalten sind nur jene Menschen, die schon Straftaten begangen haben. Die Suche nach neuen Straftätigen ist im Vergleich dazu deutlich schwieriger", sagt Paul Tavolato, FH-Professor am Institut für IT-Sicherheitsforschung der Fachhochschule St. Pölten und Leiter des Projekts "MalwareDef".
 
Das Institut für IT-Sicherheitsforschung der FH St. Pölten arbeitet in dem Projekt an einer Methode, durch die schädliche Programme abgewehrt werden können, auch wenn sie in den Datenbanken der Schutzprogramme noch nicht verzeichnet sind. Grundlage dafür ist das Verhalten der Schadprogramme: Diese Aktionen sind oft nur Kleinigkeiten: Da und dort wird eine Datei angelegt, etwas umformuliert, ein Programm gestartet, Verbindung nach außen aufgebaut oder werden bestimmte Daten genutzt – Aktionen, die jede für sich auch von harmlosen Programmen ausgeführt werden. "Es geht um einige Tausend Befehle, die im Einzelfall neutral, im Zusammenspiel aber verdächtig sind", sagt Tavolato.
 
Sogenannte polymorphe Viren verändern sich mit jeder Verbreitung, um möglichst unerkannt zu bleiben. Manche Virenprogramme setzen zudem viele kleine, für sich sinnlose Aktionen. Dadurch soll die schädliche Absicht des Programms verschleiert werden. Diese Tricks und Strategien will das Institut für IT-Sicherheitsforschung mit dem Projekt MalwareDef entlarven – ein Wettrüsten mit den Virenprogrammierern.
 
Im Rahmen des Projekts wird unter anderem ein Prototyp eines Schutzprogramms entwickelt und getestet. "Die gängigsten IT-Sicherheitsprogramme kommen heute aus Ländern wie den USA oder Russland. Doch für einen Krisenfall ist es wichtig, dass das Know-How im Bereich IT-Sicherheit auch hierzulande vorhanden ist", sagt Ernst Piller, der Leiter des Instituts für IT Sicherheitsforschung an der FH St. Pölten. Dieses Know-How baut die FH St. Pölten gemeinsam mit der Firma Ikarus Sicherheitssoftware auf, die Kooperationspartner im Projekt "MalwareDef" ist.
 
Durch die neue Methode sollen nicht nur neue, massenhaft verbreitete Schadprogramme, wie zum Beispiel solche zum Ausspionieren von Kreditkartendaten, schneller erkannt werden können. Manche Viren können überhaupt nur verhaltensbasiert erfasst werden. Wenn zum Beispiel eine Firma von einem Konkurrenzunternehmen wissen will, wie viel dieses bei einer Ausschreibung bietet, wird das dafür benötigte Schadprogramm nur einmal gezielt eingesetzt. Ein derart selten verwendetes Schadprogramm findet aber nicht den Weg in die Datenbanken der Virenschutzprogramme. Und schwierig sind solche Angriffe nicht: "Wirklich gut Programmieren muss man für so ein Programm nicht können. Dafür gibt es Bastelanleitungen im Internet", sagt Tavolato.
 
Das Projekt wird von der Österreichischen Forschungsförderungsgesellschaft FFG im Zuge des Sicherheitsforschungsprogramms KIRAS aus Mitteln des BMVIT gefördert. Kooperationspartner im Projekt ist die Firma Ikarus Sicherheitssoftware GmbH. (pi)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Arrow ECS Internet Security AG

    Arrow ECS Internet Security AG WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzwerk-Betriebssysteme, Office Software,... mehr
  • KORAM Softwareentwicklungsgesellschaft m.b.H:

    KORAM Softwareentwicklungsgesellschaft m.b.H: Betriebsdaten- und Zeiterfassung, Kaufmännische Software (ERP), Management Informationssysteme (MIS), Bauwesen, Einzelhandel, Fertigung, Produktion und Konstruktion, Freie Berufe,... mehr
  • Dicom Computer VertriebsgesmbH

    Dicom Computer VertriebsgesmbH WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzkomponenten, Mobile Lösungen und Applikationen,... mehr
  • free-com solutions gmbh

    free-com solutions gmbh Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr

Hosted by:    Security Monitoring by: