DFG-Projekt ARADIA – Hochleistungs-Scanner für die Cloud
Ein Passauer Forschungsteam treibt im Rahmen eines DFG-Projects Virtual Machine Introspection voran: Diese Methode erkennt Schadsoftware, indem sie virtuelle Systeme wie Cloud-Infrastrukturen von außen beobachtet.
Mit Hilfe von Virtual Machine Introspection können Informatikerinnen und Informatiker Vorgänge in virtuellen Systemen beobachten und beispielsweise Aktionen bei einem Hackerangriff sehen. Dies wird immer wichtiger, da viele Systeme bereits virtualisiert in der Cloud angeboten werden.
"Herkömmliche Virenscanner müssen auf dem Rechner installiert werden. Es gibt inzwischen sehr viel Schadsoftware, die sich deaktiviert, sobald sie bemerkt, dass ein Virenscanner vorhanden ist", sagt Hans Reiser, Juniorprofessor für Sicherheit in Informationssystemen an der Universität Passau. "Virtual Machine Introspection ist unauffälliger und weniger anfällig für Manipulationen." Weiterer Vorteil: "Wir können von außen alles sehen - was eine App gerade macht, welche Daten sie austauscht, welche Dateien geöffnet werden." Virtual Machine Introspection könnte beispielsweise entdecken, wenn Sicherheitslücken wie Meltdown oder Spectre ausgenutzt werden.
Allerdings habe das bestehende Verfahren Schwierigkeiten, komplexere Systeme zu beobachten. Unter anderem hier setzt das Team um Prof. Dr. Reiser an und möchte in dem Projekt "ARADIA - Plattformübergreifende Architektur zur nutzerorientierten, statischen und dynamischen Introspektion virtueller Maschinen" die Technik maßgeblich vorantreiben. Die Deutsche Forschungsgemeinschaft (DFG) fördert das Vorhaben über einen Zeitraum von zwei Jahren.
Das verbesserte Beobachtungsverfahren soll
- in Systeme blicken können, die ineinander verschachtelt sind oder virtuelle Container enthalten
- neben der Anzahl der Systemaufrufe weitere Vorgänge im Blick behalten und dieses Monitoring flexibel an die Systemleistung anpassen
- Daten detailliert erfassen, ohne das System auszubremsen
- die gewonnenen Rohdaten so visualisieren, dass Administratorinnen und Administratoren von IT-Infrastrukturen daraus Rückschlüsse für ihre Arbeit ziehen können.
Das Team um Prof. Dr. Reiser will diese innovativen Algorithmen und Strategien in einem Open-Source-Prototyp umsetzen, damit Nutzerinnen und Nutzer darauf aufbauend Werkzeuge zur Angriffserkennung entwickeln können. Darüber hinaus suchen die Forschenden nach Wegen, um das Verfahren auch auf private und öffentliche Cloud-Infrastrukturen sowie mobile Plattformen anwenden zu können, die Virtual Machine Introspection bislang kaum unterstützen.
Bei der Analyse von möglichen schädlichen Prozessen können die Wissenschaftlerinnen und Wissenschaftler um Prof. Dr. Reiser auf die Ergebnisse anderer Projekte zurückgreifen: "Wir haben bereits eine recht umfangreiche Sammlung an Schadsoftware-Exemplaren zusammengetragen", sagt der Wissenschaftler. Aktuell sammelt und untersucht sein Team solche Angriffsmuster beispielsweise in dem BMBF-Projekt DINGfest.
Projektleitung an der Universität Passau | Prof. Dr. Hans P. Reiser (Juniorprofessur für Sicherheit in Informationssystemen) |
---|---|
Laufzeit | 01.01.2018 - 31.12.2019 |
Mittelgeber | DFG - Deutsche Forschungsgemeinschaft > DFG - Sachbeihilfe |