Mit Mathematik gegen Malware

Um mit modernen Angriffen Schritt zu halten, müssen sich Security-Lösungen pausenlos weiterentwickeln, ohne ein menschliches Eingreifen zu erfordern. Hier kommen die Vorteile der Mathematik und des maschinellen Lernens zum Tragen. [...]

Ein mathematischer und maschinenlernbarer Ansatz in der IT-Sicherheit kann das Verständnis über die Klassifizierung und Ausführung von Dateien fundamental verändern. IT-Security-Anbieter Cylance verfolgt diesen Ansatz in seinen Produkten. Der Kern der Technologie ist ein massiver und hochskalierbarer Datenprozessor, der ein hochentwickeltes, mathematisches Modell auf enorme Datenmengen in nahezu Echtzeit anwendet. Dabei verfolgt das System einen Vier-Phasen-Prozess: Sammlung, Extraktion, Lernen und Klassifizierung.
1. Schritt: Sammlung
Wie bei der DNS-Analyse oder versicherungsmathematischen Berechnungen beginnt die Dateianalyse mit der Sammlung immenser Datenmengen. Hier sind dies hauptsächlich ausführbare Dateien, PDFs, Microsoft Word-Dokumente, Java, Flash usw. Diese Dateien werden über Feeds von Industriepartnern sowie öffentlichen und eigenen Datensammlungen zugeführt.
2. Schritt: Extraktion
Die nächste Stufe des Maschinenlernprozesses ist die Extraktion von Merkmalen und Attributen und sie unterscheidet sich grundsätzlich von der Verhaltens- und Malware-Analyse traditioneller Schadcode-Analysten, so die Angaben des Anbieters.
Statt auf die Dinge zu achten, die ein Analyst für schädlich erachtet, nutzt Cylance enorme Rechenleistung und Data-Mining-Techniken, um das größtmögliche Spektrum an Dateimerkmalen einer Datei zu erhalten. Diese Merkmale können sehr einfach sein, wie die Dateigröße einer ausführbaren Datei oder dem verwendeten Compiler, aber auch komplex, indem z.B. die ersten logischen Transaktionen des ausführbaren Codes analysiert werden.
3. Schritt: Lernen
Sobald sämtliche Attribute gesammelt wurden, werden die Datensätze normalisiert und in numerische Werte umgewandelt, die in den statistischen mathematischen Modellen verwendet werden können. An dieser Stelle setzt die Vektorisierung ein und das maschinelle Lernen kommt zum Einsatz. Die Nachteile und Störfaktoren der manuellen Analyse (Falschbeurteilung und langsame Verarbeitung) entfallen. Das mathematische Model wird dann von Cylance-Mathematikern anhand der Millionen gewonnen Merkmale entwickelt und geprüft, um eine akkurate Vorhersage zur Schädlichkeit einer Datei zu erhalten.
4. Schritt: Klassifizierung
Nachdem die statistischen Modelle erstellt wurden, können sie in der Cylance Engine verwendet werden, um unbekannte Dateien zu klassifizieren. Die Analyse dauert nur Millisekunden und ist aufgrund der hohen Bandbreite der berücksichtigten Dateimerkmale sehr präzise. Aufgrund der Analyse durch statistische Modelle ist das Resultat kein absoluter Wert sondern ein „Confidence Score“, anhand dessen der Kunde einfach die Entscheidung treffen kann, ob die Datei blockiert, in Quarantäne gestellt, überwacht oder weiter analysiert werden soll. Alle Produkte und Dienstleistungen, die der Security-Spezialist  anbietet, sind direkt mit der Cylance-Engine verknüpft, um eine hohe Treffsicherheit und einen tiefen Einblick in die Landschaft der modernen IT-Sicherheitsbedrohungen zu geben.

Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*