Advertisement

Das Internet-Malware-Analyse-System (InMAS)

Ein System zur großflächigen Sammlung und Analyse von Schadsoftware im Internet
  • Markus Engelberth
  • Felix C. Freiling
  • Jan Göbel
  • Christian Gorecki
  • Thorsten Holz
  • Ralf Hund
  • Philipp Trinius
  • Carsten Willems
Schwerpunkt
  • 164 Downloads

Zusammenfassung

Das Ziel eines Frühwarnsystems besteht im Wesentlichen aus dem frühzeitigen Erkennen und Einschätzen von Bedrohungen aus dem Internet. Ein wichtiger Aspekt hierbei ist die Beobachtung und Verfolgung bösartiger Software. Mit dem Internet-Malware-Analyse-System (InMAS), das zwischen 2007 und 2009 an der Universität Mannheim entstand, lässt sich Schadsoftware automatisiert erkennen und analysieren. Die so gewonnenen Informationen liefern ein Lagebild des aktuellen Gefährdungsgrads der beobachteten Internet-Infrastruktur und können einen wichtigen Beitrag für ein nationales Frühwarnsystem leisten. Das Projekt wurde durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) gefördert.

Literatur

  1. Apel, M., Biskup, J., Flegel, U., Meier, M. (2010). Early Warning System on a National Level — Project AMSEL. 1st European Workshop on Internet Early Warning and Network Intelligence (EWNI), Hamburg.Google Scholar
  2. Bächer, P., Freiling, F., Holz, T., Dornseif, M., und Kötter, M. (2006). The Nepenthes Platform: An Efficient Approach to Collect Malware. Symposium on Recent Advances in Intrusion Detection (RAID’06).Google Scholar
  3. Costa, M., Crowcroft, J., Castro, M., Rowstron, A., Zhou, L., und Zhang, L. (2005). Vigilante: End-to-end containment of Internet worms. SIGOPS Oper. Syst. Rev. CrossRefGoogle Scholar
  4. Engelberth, M., Freiling, F., Göbel, J. Gorecki, C., Holz, T., Trinius, P., und Willems, C. (2009). Frühe Warnung durch Beobachten und Verfolgen von bösartiger Software im Deutschen Internet: Das Internet-Malware-Analyse System. 11. Deutscher IT-Sicherheitskongress, Bonn.Google Scholar
  5. Engelberth, M., Willems, C., und Holz, T. (2009). MalOffice — Detecting malicious documents with combined static and dynamic analysis. 19th Virus Bulletin International Conference (VB’09).Google Scholar
  6. Engelberth, M., Freiling, F., Göbel, J., Gorecki, C., Hund, R., Holz, T., Trinius, P., und Willems, C. (2010). The InMAS Approach. 1st European Workshop on Internet Early Warning and Network Intelligence (EWNI), Hamburg.Google Scholar
  7. Freiling, F..C. (2010). Wie repräsentativ sind die Messungen eines Honeynets? Technischer Bericht TR-2010-001, Universität Mannheim.Google Scholar
  8. Göbel, J. (2010). Amun: Automatic Capturing of Malicious Software. SICHERHEIT 2010, Berlin.Google Scholar
  9. Göbel, J., und Trinius, P. (2010). Towards Optimal Sensor Placement Strategies for Early Warning Systems. SICHERHEIT 2010, Berlin.Google Scholar
  10. Holz, T., Steiner, M., Dahl, F., Biersack, E., und Freiling, F. C. (2008). Measurements and Mitigation of Peer-to-Peer-based Botnets: A Case Study on Storm Worm. USENIX LEET’ 08.Google Scholar
  11. Leita, C., Dacier, M., und Massicotte, F. (2006). Automatic Handling of Protocol Dependencies and Reaction to 0-Day Attacks with ScriptGen Based Honeypots. Recent Advances in Intrusion Detection (RAID’06).Google Scholar
  12. Moore, D., Shannon, C., und Claffy, K. (2002). Code-Red: a case study on the spread and victims of an internet worm. ACM SIGCOMM Workshop on Internet Measurment.Google Scholar
  13. Petersen, D., Pohlmann, N. (2008). Die globale Sicht auf das Internet. Verfügbar unter www.internet-sicherheit.de/IAS/
  14. Portokalidis, G., Slowinska, A., und Bos, H. (2006). Argos: An Emulator for Fingerprinting Zero-Day Attacks. ACM SIGOPS EUROSYS’2006.CrossRefGoogle Scholar
  15. Rieck, K., Trinius, P., Willems, C., and Holz, T. (2011). Automatic Analysis of Malware Behavior using Machine Learning. Erscheint in Journal of Computer Security.Google Scholar
  16. Sander, J., und Jedlicka, H.-P. (2007). CarmentiS: Frühe Warnung im deutschen Internet. 14. DFN-CERT Workshop.Google Scholar
  17. Willems, C., Freiling, F. C., und Holz, T. (2007). CWSandbox: Towards Automated Dynamic Binary Analysis. IEEE Security and Privacy.Google Scholar
  18. Trinius, P., Holz, T., und Göbel, J. (2009). Visual Analysis of Malware Behavior. 6th International Workshop on Visualization for Cyber Security.Google Scholar
  19. Trinius, P., Willems, C., Holz, T., Rieck, K. (2010). A Malware Instruction Set for Behavior-Based Analysis. SICHERHEIT 2010, Berlin.Google Scholar
  20. Zhuge, J., Holz, T., Han, X., Song, C., Zou, W. (2007). Collecting Autonomous Spreading Malware Using HighßInteraction Honeypots. 9 th International Conference on Information and Communications Security, Seiten 438–451.Google Scholar

Copyright information

© Springer Fachmedien Wiesbaden 2011

Authors and Affiliations

  • Markus Engelberth
    • 1
  • Felix C. Freiling
    • 1
  • Jan Göbel
    • 1
  • Christian Gorecki
    • 1
  • Thorsten Holz
    • 2
  • Ralf Hund
    • 2
  • Philipp Trinius
    • 1
  • Carsten Willems
    • 1
  1. 1.Lehrstuhl für Praktische Informatik 1Universität MannheimMannheimGermany
  2. 2.Arbeitsgruppe Embedded MalwareRuhr-Universität BochumBochumGermany

Personalised recommendations