Christian Haupt
Master Thesis, Hochschule Wismar, Mai 2020
Author: Christian Haupt
Titel: Automatisierte Hauptspeicher-Forensik auf Basis von Open-Source-Tools - Detektion von Verschlüsselungstrojanern mittels Maschinellen Lernens
Abstrakt: Vor dem Hintergrund der Schäden durch Verschlüsselungstrojaner, welche Organisationen weltweit in den letzten Jahren zugefügt wurden, wird deutlich, dass neue Methoden zu deren Detektion benötigt werden. Dies gilt insbesondere für virtualisierte Systeme, welche in den letzten Jahren einen enormen Zuwachs an Nutzerzahlen erlebt haben. Diese Systeme haben besondere Sicherheitsanforderungen, bieten aber gleichzeitig auch besondere Möglichkeiten zur Bekämpfung von Trojanern. Die Verknüpfung dieser Möglichkeiten mit modernen Methoden aus dem Bereich Data Science bieten das Potential für eine enorme Erhöhung der Sicherheit heutiger IT-Systeme. Diese Arbeit knüpft an die bestehende Forschung auf diesem Gebiet an. Die Grundlage dazu bildet eine von Cohen und Nissim vorgestellte Methode zur Erkennung von Verschlüsselungstrojanern in Hauptspeicher-Abbildern virtualisierter Server mittels Maschinellen Lernens. Die Methode wird repliziert und auf Basis eines veränderten Hypervisors und Betriebssystem angewandt. Ihre Leistungsfähigkeit, mit einem neuen und erweiterten Satz von jeweils zehn Verschlüsselungstrojanern und gutartigen Programmen in dieser veränderten Umgebung umzugehen, wird erprobt. Es wird versucht die Detektionsleistung mit der Einführung zweier weiterer Algorithmen des Maschinellen Lernens zu verbessern. Die Ergebnisse zeigen, dass die Methode den hier gemachten Veränderungen gewachsen ist. Die Detektionsleistung ist bei bekannten und sogar bei unbekannten Trojanern sehr gut. Die Analysegeschwindigkeit der Hauptspeicher-Abbilder konnte darüber hinaus durch parallelisierte Bearbeitung wesentlich verbessert werden.
