Christian Haupt
Master Thesis, Hochschule Wismar, Mai 2020
Author: Christian Haupt
Titel: Automatisierte Hauptspeicher-Forensik auf Basis von Open-Source-Tools - Detektion von Verschlüsselungstrojanern mittels Maschinellen Lernens
Abstrakt: Vor dem Hintergrund der Schäden durch Verschlüsselungstrojaner, welche Organisa-tionen weltweit in den letzten Jahren zugefügt wurden, wird deutlich, dass neue Me-thoden zu deren Detektion benötigt werden. Dies gilt insbesondere für virtualisierte Systeme, welche in den letzten Jahren einen enormen Zuwachs an Nutzerzahlen er-lebt haben. Diese Systeme haben besondere Sicherheitsanforderungen, bieten aber gleichzeitig auch besondere Möglichkeiten zur Bekämpfung von Trojanern. Die Ver-knüpfung dieser Möglichkeiten mit modernen Methoden aus dem Bereich Data Sci-ence bieten das Potential für eine enorme Erhöhung der Sicherheit heutiger IT-Sys-teme. Diese Arbeit knüpft an die bestehende Forschung auf diesem Gebiet an. Die Grundlage dazu bildet eine von Cohen und Nissim vorgestellte Methode zur Erken-nung von Verschlüsselungstrojanern in Hauptspeicher-Abbildern virtualisierter Ser-ver mittels Maschinellen Lernens. Die Methode wird repliziert und auf Basis eines veränderten Hypervisors und Betriebssystem angewandt. Ihre Leistungsfähigkeit, mit einem neuen und erweiterten Satz von jeweils zehn Verschlüsselungstrojanern und gutartigen Programmen in dieser veränderten Umgebung umzugehen, wird er-probt. Es wird versucht die Detektionsleistung mit der Einführung zweier weiterer Algorithmen des Maschinellen Lernens zu verbessern. Die Ergebnisse zeigen, dass die Methode den hier gemachten Veränderungen gewachsen ist. Die Detektionsleistung ist bei bekannten und sogar bei unbekannten Trojanern sehr gut. Die Analysege-schwindigkeit der Hauptspeicher-Abbilder konnte darüber hinaus durch paralleli-sierte Bearbeitung wesentlich verbessert werden.
