Suchen

Cyberabwehr mit mathematischen Modellen Malware-Prävention durch Machine Learning

| Autor / Redakteur: Detlev Pacholke* / Peter Schmitz

Die herkömmliche, signaturbasierte Abwehr von Cyber-Angriffen kommt immer häufiger an ihre Grenzen. Zu den neuen Methoden, die diese Schwächen ausgleichen, gehört das „Machine Learning“, das mit mathematisch-statistischen Modellen schädliche Dateien identifiziert.

Firmen zum Thema

Mit Machine Learning lässt sich auch Malware erkennen, die zuvor unbekannt war; die zugrundeliegenden Modelle können sich selbst optimieren.
Mit Machine Learning lässt sich auch Malware erkennen, die zuvor unbekannt war; die zugrundeliegenden Modelle können sich selbst optimieren.
(Bild: Pixabay / CC0 )

Zu den Standards der Abwehr von Malware gehören signaturbasierte Verfahren, die oft schon in die Betriebssysteme integriert sind, so etwa Windows Defender. Sie beruhen im Grunde darauf, dass möglichst viel Malware gesichtet, mit einer Prüfsumme beziehungsweise einem Hash-Wert gekennzeichnet und in einer Art Katalog hinterlegt wird. Dieser wird an die potenziellen „Opfer“ verteilt, die dann anhand der festgestellten Eigenschaften, also der im Hash-Wert festgehaltenen Signatur, Malware identifizieren können.

Die Problematik dieses Verfahrens liegt auf der Hand: Auf diese Weise kann nur bereits einmal erfasste und identifizierbare Malware bekämpft werden. Es kommt daher zu einem ständigen Wettlauf zwischen dem Erfassen und dem Entstehen neuer, noch nicht gesichteter Malware; ein Wettlauf, bei dem – und das liegt in der Natur der Sache – die Angreifer immer einen Schritt voraus sind – zumal sie ihre Software nur geringfügig verändern müssen, um eine andere Signatur zu erhalten und damit unerkannt zu bleiben.

Aus diesem Grund werden immer wieder alternative beziehungsweise ergänzende Verfahren entwickelt, so etwa Sandboxing, Micro-Virtualisierung oder Exploit Protection. Relativ neu im Markt ist das sogenannte Machine Learning (ML), bei dem Malwareprozesse mit mathematisch-statistischen Modellen erkannt und damit verhindert werden.

ML wurde erstmalig vom amerikanischen Hersteller Cylance vorgestellt, mittlerweile gibt es aber auch andere Anbieter. Der wesentliche Unterschied zu den signaturbasierten Verfahren besteht darin, dass hier auch bislang unbekannte oder speziell geschützte, etwa durch Verschlüsselung oder Packing, Malware identifiziert werden kann. Auf diese Weise lassen sich sogar sogenannte Crypter wie Aegis bekämpfen.

Das Erkennen von Malware auf Basis von ML und das Verhindern der Ausführung basiert auf vier Phasen: sammeln, extrahieren, lernen und klassifizieren.

(ID:44665460)