Suchen

Malware Indische Forscher setzen bei der Botnetz-Enttarnung auf Stochastik

| Redakteur: Franz Graser

Botnetze, bei denen Rechner mit Malware infiziert und dann von Dritten ferngesteuert werden, sind bisher sehr schwer zu enttarnen. Indische Wissenschaftler wenden eine stochastische Methode an, um diese Netze aufzuspüren.

Firma zum Thema

Wo verbergen sich die gekaperten Rechner eines Botnetzes? Eine statistische Methode, die die Charakteristika der Internetaktivitäten von Zombie-Rechnern vorhersagt, könnte Botnetze leichter als bisher entdecken.
Wo verbergen sich die gekaperten Rechner eines Botnetzes? Eine statistische Methode, die die Charakteristika der Internetaktivitäten von Zombie-Rechnern vorhersagt, könnte Botnetze leichter als bisher entdecken.
(Bild: Clipdealer)

Erst vor wenigen Wochen hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Bundesbürger über einen groß angelegten Identitätsdiebstahl unterrichtet, der auch mit Hilfe von sogenannten Botnetzen möglich war. Botnetze bestehen aus Computern – sogenannten Zombies –, die systematisch mit Malware infiziert wurden und so von Dritten kontrolliert und ferngesteuert werden können.

Forscher am PSG College of Technology in Coimbatore im südindischen Bundesstaat Tamil Nadu haben nun eine Methode entwickelt, die es erlauben könnte, solche Zombie-Rechner schneller als bisher zu enttarnen. Professorin R. Anitha und ihre Kollegen setzen dabei auf ein statistisches Modell, das bereits in den sechziger Jahren des 20. Jahrhunderts entwickelt wurde.

Laut der Hindustan Times handelt es sich dabei um ein sogenanntes „verstecktes semi-Markow-Modell“. Das Modell wurde nach dem russischen Mathematiker Andrej Andrejewitsch Markow benannt, der die Theorie stochastischer Prozesse begründete.

Einfach ausgedrückt, werden beim Markow-Modell Vorhersagen über den kommenden Status eines Prozesses getroffen, die auf dem gegenwärtigen Status basieren. Dabei ist es nicht notwendig, die gesamte Prozessgeschichte zu kennen. Bei einem Glücksspiel kann man zum Beispiel vorhersagen, dass ein Spieler, der momentan einen Chip hat, in der nächsten Runde entweder zwei oder keinen haben wird (weil er entweder einen hinzugewinnt oder einen verliert).

Ein verstecktes Markow-Modell geht nach dem Bericht der Hindustan Times einen Schritt weiter, da es Variablen einschließt, die der Betrachter nicht sehen, aber ableiten kann. Man könnte zum Beispiel auf das Wetter an einem gegebenen Tag schließen, wenn man weiß, ob ein Spaziergänger, der seine Wohnung nur bei schönem Wetter verlässt, an diesem bestimmten Tag unterwegs war.

Diese stochastische Methode lässt sich nun heranziehen, um vorherzusagen, welche Internetaktivitäten ein Zombie-Computer an den Tag legt, der Teil eines Botnetzes ist. Dazu wird das normale Internetverhalten eines Computers innerhalb eines Netzwerks modelliert. Mit Hilfe der statistischen Methode wird nun vorhergesagt, wie die Internetaktivitäten eines Rechners aussehen würde, der Teil eines Botnetzes ist. Diese Abweichungen vom normalen Muster lassen sich theoretisch aufspüren.

Der praktische Test mit einem kleinen Netzwerk, das Zombie-Rechner aufwies, zeigte, dass die Methode gut dazu geeignet ist, die Zombies in Echtzeit zu ermitteln. Die indischen Forscher sind zuversichtlich, dass sich Botnetze schneller enttarnen lassen, wenn diese Methode in großem Maßstab eingesetzt würde.

(ID:42521287)