Textdokument
Schadsoftwareerkennung auf Netzwerkebene ohne Einzelpaketanalyse
Vorschaubild nicht verfügbar
Volltext URI
Dokumententyp
Dateien
Zusatzinformation
Datum
2013
Autor:innen
Zeitschriftentitel
ISSN der Zeitschrift
Bandtitel
Verlag
Gesellschaft für Informatik
Zusammenfassung
Eines der größten Sicherheitsprobleme im Internet sind Bots – gekaperte Rechner, die in großer Zahl Schäden durch SPAM, Denial-of-Service-Angriffe oder Informationsdiebstahl anrichten. Entsprechend aktiv ist die Forschungsgemeinde bei der Entwicklung von Detektionsmechanismen, insbesondere auch im Feld der netzwerbasierten Erkennung. Da dazu jedoch typischerweise Paketinhalte analysiert werden müssen, stößt diese klassische netzwerkbasierte Detektion bei verschlüsselter Kommunikation an ihre Grenzen. Als Antwort auf dieses Problem präsentieren wir BOTFINDER – ein neuartiges System, dass Bots anhand ihrer verbindungsorientierten Kommunikationsstruktur mit dem Botmaster erkennt und vollständig auf eine Analyse von Paketinhalten verzichtet. Hierzu beobachtet es das Kommunikationsverhalten der Schadsoftware in einer kontrollierten Umgebung und errechnet hieraus aussagekräftige Modelle. Diese Modelle werden dann im Praxisbetrieb mit dem Netzwerkverkehr der einzelnen Rechner im Netz verglichen. Unsere Ergebnisse mit einer repräsentativen Auswahl verschiedener Bots auf realen Netzwerkmitschnitten zeigen, dass BOTFINDER in der Lage ist, Bots mit hoher Trefferquote bei gleichzeitig wenigen Falsch-Positiven zu erkennen.