Maschinelles Lernen ermöglicht effektive Erkennung gefährlicher Websites, so CERT-RO

Das Problem

CERT-ROs Hauptaufgabe ist die überwachung der Sicherheit rumänischer Websites angesichts grassierender Cyber-Kriminalität. Die große Vielzahl an Websites (372.000) und die immer stärker voranschreitende Entwicklung von Online-Gefahren wie Ransomware und Phishing machen dies jedoch zu alles anderem als einer leichten Aufgabe.

Außerdem weiß JavaScript-basierte Malware Virenschutzsoftware durch Obfuskation und andere Ausweichmechanismen geschickt zu umgehen. Noch dazu wirkt die bisherige Lösung zur Erkennung gefährlicher Links – hochinteraktive Client-Honeypots – nicht mehr.

"Client-Honeypots sind augenscheinlich eine prima Lösung, sie sind jedoch zeitintensiv und von raffinierten JavaScript-Dateien leicht zu erkennen und zu umgehen", so Bozeanu. "Würde man sämtliche Seiten in einem Honeypot-Client analysieren, würde ein einziger Durchlauf bis zu 5,89 Jahre dauern."

Die Lösung

Das Team von CERT-RO hat ein Experiment durchgeführt und 40 im Internet gefundene gefährliche JavaScript-Dateien analysiert. Es wurden auch HTML-Dateien nach verdächtigen JavaScript-Dateien durchsucht, und zwar nach Code, der Opfer unbemerkt auf gefährliche Websites umleitet, obfuskiert ist oder selektiv oder verzögert ausgeführt wird. Ebenso wurde nach ungewöhnlich umfangreichen Inhalten gesucht. Nach der Untersuchung der Dateien und URLs wurden Heuristiken kompiliert und ein System auf der Grundlage des maschinell lernenden Algorithmus Random Forest entwickelt. Mehrere Agenten analysierten jede URL, ihren Namen und den Score und sendeten diese Informationen an eine Anomalie-Erkennungs-Engine.

"Wir haben diesen Algorithmus gewählt, weil er einer der erfolgreichsten im Aufspüren von Nichtlinearitäten und Feature-Interaktionen ist", führte Bozeanu weiter aus. "Mit dieser Methode kann derselbe Datensatz in einen Regressor und einen Klassifikator eingespeist werden, und außerdem ist er sehr benutzerfreundlich und leistungsstark."

Laut Bozeanu war es ein Testlauf, aber CERT-RO will daran arbeiten, mithilfe von maschinellem Lernen die Erkennungswerte weiter zu steigern.

rn