Botnetz-Analyse
Das Institut für Internet-Sicherheit arbeitet an verschiedenen Methoden, um Botnetze genauer zu analysieren. Unser Forschungsteam kombiniert dabei moderne Forschungsansätze mit eigenen Ideen, um neuartige Ergebnisse zu erzielen. Dabei werden State-of-the-Art Technologien verwendet, um stets mit den aktuellen Evolutionen der Botnetze mithalten zu können.
Honeypots
Honeypots sind Systeme, die absichtlich dafür ausgelegt sind, von Angreifern mit neuer Malware infiziert zu werden, ohne diese Malware tatsächlich direkt auszuführen und damit die Schadfunktion zu aktivieren. Wir setzen Honeypots mit zwei verschiedenen Zielsetzungen ein. Zum einen helfen Honeypots, die Infektionen von Angreifern im Nachhinein zu analysieren. So kann beispielsweise der Netzwerkverkehr analysiert werden, um ähnliche Angriffe im Internet zu erkennen. Des weiteren bieten Honeypots die Chance, in den Besitz neuer Malware zu kommen. Die so gespeicherte Malware kann nachgelagert im Detail analysiert werden.
Sandnet
Sobald Malware durch Honeypots gefangen wurde, wird diese zur genaueren Analyse in einem Sandnet ausgeführt. Das Sandnet ist eine kontrollierte Umgebung, die von uns für eine umfassende Analyse und zugleich schadlose Ausführung von Malware entwickelt wurde. Dabei stellen wir uns einer großen Herausforderung. Einerseits ist es für die Malware-Analyse wichtig, Bots in einer möglichst reellen Umgebung laufen zu lassen. Das bedeutet, dass nur sehr wenige Eingriffe in die Kommunikation der Bots erfolgen sollten. Andererseits ist wegen des potenziellen Schadverkehrs eines Bots kein Verzicht auf Eingriffe in den Netzwerkverkehr möglich. Es ist Gegenstand unserer Forschung, diesen Konflikt durch praktische Herangehensweise zu lösen. Dies ist zum Beispiel möglich, in dem Denial of Service-Angriffe und Spam auf eigene Server umgelenkt werden, um so das ursprüngliche Angriffsziel im Internet zu schützen. Dabei wird gleichzeitig der gesamte Netzwerkverkehr aufgezeichnet, um diesen im Detail zu analysieren.
Botnetz-Erkennung
Die Botnetz-Anlyseergebnisse dienen uns als Vorbereitung zu einem zweijährigen Forschungsprojekt. Ziel dieses Projektes ist es, die gewonnenen Informationen zur Erkennung von Botnetzen im gemischten Datenverkehr zu erkennen. Die Botnetz-Erkennung erfolgt am DE-CIX, eines der größten Internet Exchange Points Europas. Bei der Entwicklung unserer Ansätze legen wir auf Hochgeschwindigkeitsnetzen einen besonderen Fokus. Solche Netzwerke stehen unter ständig hoher Last und stellen besondere Anforderungen an Performance und Skalierbarkeit. Ziel unserer Forschung ist es, probate Methoden zur Botnetz-Erkennung mit konzeptionellen Eigenentwicklungen zu kombinieren. Bestehende Ansätze zur Erkennung von Botnetzen basieren auf Signatur- oder Anomalieerkennung im Netzverkehr. Neuerdings werden von der Wissenschaft auch Methoden vorgestellt, die sich auf Maschinelles Lernen abstützen. Ziel des Forschungsprojektes mit dem DE-CIX ist es, die wissenschaftlich erprobten Ansätze mit eigenen Ideen zu verbinden und diese in realen Netzwerken zu evaluaieren.
Kontakt
Prof. Dr. (TU NN) Norbert Pohlmann
Christian J. Dietrich
Institut für Internet-Sicherheit
Westfälische Hochschule
Neidenburger Str. 43
45877 Gelsenkirchen
Tel.: 02 09 / 9596 515
E-Mail: dietrich@internet-sicherheit.de/