Rechner verteidigen sich selbst gegen Angriffe aus dem Netz

Software des Saarbrücker Informatik-Teams um Prof. Dr. Andreas Zeller erkennt neue Schädlinge in Computersystemen

Immer mehr Rechner werden durch schädliche Software infiziert. Meist braucht es einige Zeit, bis man herausfindet, wie solche Schädlinge in den Rechner eindringen. In dieser Zeit kann sich zum Beispiel ein Virus oder Trojaner ungehindert verbreiten. Andreas Zeller, Professor für Softwaretechnik an der Universität des Saarlandes, und sein Team haben Methoden entwickelt, mit denen Computer selbstständig auch bisher unbekannte Schädlinge entlarven. Die neue Software „Malfor“ wird auf der CeBit 2005 am saarländischen Forschungsstand vorgestellt.

Die Software „Malfor“ hat zum Ziel, dass der Rechner selbst experimentiert und erkennt, welche Netzwerkpakete zum Angriff geführt haben. „Der befallene Rechner – möglichst ein Honeypot – kann so andere Rechner warnen, die dann diesen und ähnliche Angriffe selbstständig abwehren“, erläutert Andreas Zeller. Der Angriff auf das Rechnersystem wird in zwei Schritten analysiert. Zuerst werden alle Programmaktivitäten wie in einer großen und sehr detaillierten Protokolldatei aufgezeichnet. In einem zweiten Schritt werden verschiedene Kombinationen von Teilaktivitäten ausgewählt und wieder eingespielt, um zu sehen, ob diese Auswahl den Angriff hervorruft.

Im Gegensatz zu den gängigen Methoden arbeitet dieses Verfahren rein experimentell und erkennt dadurch auch bisher unbekannte Angriffe. Herkömmliche Werkzeuge untersuchen dagegen Protokolldateien und schließen daraus, was passiert sein muss. Dieser Ansatz funktioniert gut für bekannte und schon analysierte Angriffsarten, versagt aber zum Beispiel bei neuartigen Viren. Das liegt daran, dass die Programmabläufe nicht mehr so funktionieren, wie das Werkzeug annimmt. „Mit unserem Ansatz können wir neue und unbekannte Angriffe analysieren und unsere Analysen gleich durch Experimente bestätigen“, sagt Andreas Zeller.

Die Malfor -Software wird vom 10. bis 16. März auf der CeBIT 2005 in Hannover am saarländischen Forschungsstand (Halle 9, Stand D09) vorgestellt. Im Rahmen des „future talk forum“ der CeBIT (Halle 9, Stand C16) hält Prof. Dr. Andreas Zeller am 12. März um 17 Uhr einen Vortrag zum Thema „Selbstverteidigende Rechnernetze“.

Fragen beantworten Ihnen:

Prof. Dr. Andreas Zeller
Lehrstuhl für Softwaretechnik, Universität des Saarlandes
Tel.: 0681/302-64011
Email: zeller@cs.uni-sb.de

Friederike Meyer zu Tittingdorf
Kompetenzzentrum Informatik an der Universität des Saarlandes
Tel. 0681/302-58099
Email: presse@cs.uni-sb.de

Während der CeBIT wenden Sie sich für Terminabsprachen bitte an:
Tel. 0511/89-697558 oder Fax 0511/89-597558