2 research outputs found
Effiziente und erklÀrbare Erkennung von mobiler Schadsoftware mittels maschineller Lernmethoden
In recent years, mobile devices shipped with Googleâs Android operating system
have become ubiquitous. Due to their popularity and the high concentration of
sensitive user data on these devices, however, they have also become a
profitable target of malware authors. As a result, thousands of new malware
instances targeting Android are found almost every day. Unfortunately, common
signature-based methods often fail to detect these applications, as these
methods can- not keep pace with the rapid development of new malware.
Consequently, there is an urgent need for new malware detection methods to
tackle this growing threat.
In this thesis, we address the problem by combining concepts of static analysis
and machine learning, such that mobile malware can be detected directly on the
mobile device with low run-time overhead. To this end, we first discuss our
analysis results of a sophisticated malware that uses an ultrasonic side
channel to spy on unwitting smartphone users. Based on the insights we gain
throughout this thesis, we gradually develop a method that allows detecting
Android malware in general. The resulting method performs a broad static
analysis, gathering a large number of features associated with an application.
These features are embedded in a joint vector space, where typical patterns
indicative of malware can be automatically identified and used for explaining
the decisions of our method. In addition to an evaluation of its overall
detection and run-time performance, we also examine the interpretability of the
underlying detection model and strengthen the classifier against realistic
evasion attacks.
In a large set of experiments, we show that the method clearly outperforms
several related approaches, including popular anti-virus scanners. In most
experiments, our approach detects more than 90% of all malicious samples in the
dataset at a low false positive rate of only 1%. Furthermore, even on older
devices, it offers a good run-time performance, and can output a decision along
with a proper explanation within a few seconds, despite the use of machine
learning techniques directly on the mobile device.
Overall, we find that the application of machine learning techniques is a
promising research direction to improve the security of mobile devices. While
these techniques alone cannot defeat the threat of mobile malware, they at
least raise the bar for malicious actors significantly, especially if combined
with existing techniques.Die Verbreitung von Smartphones, insbesondere mit dem Android-Betriebssystem,
hat in den vergangenen Jahren stark zugenommen. Aufgrund ihrer hohen
PopularitÀt haben sich diese GerÀte jedoch zugleich auch zu einem lukrativen
Ziel fĂŒr Entwickler von Schadsoftware entwickelt, weshalb mittlerweile tĂ€glich
neue Schadprogramme fĂŒr Android gefunden werden.
Obwohl verschiedene Lösungen existieren, die Schadprogramme auch auf mobilen
EndgerÀten identifizieren sollen, bieten diese in der Praxis hÀufig keinen
ausreichenden Schutz. Dies liegt vor allem daran, dass diese Verfahren zumeist
signaturbasiert arbeiten und somit schÀdliche Programme erst zuverlÀssig
identifizieren können, sobald entsprechende Erkennungssignaturen vorhanden
sind. Jedoch wird es fĂŒr Antiviren-Hersteller immer schwieriger, die zur
Erkennung notwendigen Signaturen rechtzeitig bereitzustellen. Daher ist die
Entwicklung von neuen Verfahren nötig, um der wachsenden Bedrohung durch mobile
Schadsoftware besser begegnen zu können.
In dieser Dissertation wird ein Verfahren vorgestellt und eingehend untersucht,
das Techniken der statischen Code-Analyse mit Methoden des maschinellen Lernens
kombiniert, um so eine zuverlÀssige Erkennung von mobiler Schadsoftware direkt
auf dem MobilgerĂ€t zu ermöglichen. Die Methode analysiert hierfĂŒr mobile
Anwendungen zunÀchst statisch und extrahiert dabei spezielle Merkmale, die eine
Abbildung einer Applikation in einen hochdimensionalen Vektorraum ermöglichen.
In diesem Vektorraum sind schlieĂlich maschinelle Lernmethoden in der Lage,
automatisch Muster zur Erkennung von Schadprogrammen zu finden. Die gefundenen
Muster können dabei nicht nur zur Erkennung, sondern darĂŒber hinaus auch zur
ErklÀrung einer getroffenenen Entscheidung dienen.
Im Rahmen einer ausfĂŒhrlichen Evaluation wird nicht nur die Erkennungsleistung
und die Laufzeit der vorgestellten Methode untersucht, sondern darĂŒber hinaus
das gelernte Erkennungsmodell im Detail analysiert. Hierbei wird auch die
Robustheit des Modells gegenĂŒber gezielten Angriffe untersucht und verbessert.
In einer Reihe von Experimenten kann gezeigt werden, dass mit dem
vorgeschlagenen Verfahren bessere Ergebnisse erzielt werden können als mit
vergleichbaren Methoden, sogar einschlieĂlich einiger populĂ€rer
Antivirenprogramme. In den meisten Experimenten kann die Methode Schadprogramme
zuverlĂ€ssig erkennen und erreicht Erkennungsraten von ĂŒber 90% bei einer
geringen Falsch-Positiv-Rate von 1%
Konzepte fĂŒr Datensicherheit und Datenschutz in mobilen Anwendungen
Smart Devices und insbesondere Smartphones nehmen eine immer wichtigere Rolle in unserem Leben ein. Aufgrund einer kontinuierlich anwachsenden Akkulaufzeit können diese GerĂ€te nahezu ununterbrochen mitgefĂŒhrt und genutzt werden. ZusĂ€tzlich sorgen stetig gĂŒnstiger werdende Mobilfunktarife und ansteigende Datenraten dafĂŒr, dass den Nutzern mit diesen GerĂ€ten eine immerwĂ€hrende Verbindung zum Internet zur VerfĂŒgung steht. Smart Devices sind dadurch nicht mehr reine Kommunikationsmittel sondern ebenfalls Informationsquellen. DarĂŒber hinaus gibt es eine Vielzahl an Anwendungen von Drittanbietern fĂŒr diese GerĂ€te. Dank der darin verbauten Sensoren, können darauf beispielsweise ortsbasierte Anwendungen, Gesundheitsanwendungen oder Anwendungen fĂŒr die Industrie 4.0 ausgefĂŒhrt werden, um nur einige zu nennen. Solche Anwendungen stellen allerdings nicht nur ein groĂes Nutzen-, sondern zu gleich ein immenses Gefahrenpotential dar. Ăber die Sensoren können die unterschiedlichsten Kontextdaten erfasst und relativ prĂ€zise RĂŒckschlĂŒsse auf den Nutzer gezogen werden. Daher sollte bei diesen GerĂ€ten ein besonderes Augenmerk auf die Datensicherheit und insbesondere auf den Datenschutz gelegt werden.
Betrachtet man allerdings die bestehenden Datensicherheits- und Datenschutzkomponenten in den aktuell vorherrschenden mobilen Plattformen, so fĂ€llt auf, dass keine der Plattformen die speziellen Anforderungen an ein mobiles Datensicherheits- und Datenschutzsystem zufriedenstellend erfĂŒllt. Aus diesem Grund steht im Zentrum der vorliegende Arbeit die Konzeption und Umsetzung neuartiger Datensicherheits- und Datenschutzkonzepte fĂŒr mobile Anwendungen. HierfĂŒr werden die folgenden fĂŒnf ForschungsbeitrĂ€ge erbracht:
[FB1] Bestehende Datensicherheits- und Datenschutzkonzepte werden analysiert, um deren Schwachstellen zu identifizieren.
[FB2] Ein kontextsensitives Berechtigungsmodell wird erstellt.
[FB3] Das Berechtigungsmodell wird in einem flexiblen Datenschutzsystem konzeptionell eingebettet und anschlieĂend implementiert.
[FB4] Das Datenschutzsystem wird zu einem holistischen Sicherheitssystem erweitert.
[FB5] Das daraus entstandene holistische Sicherheitssystem wird evaluiert.
Um die Forschungsziele zu erreichen, wird mit dem Privacy Policy Model (PPM) ein gĂ€nzlich neues Modell zur Formulierung von feingranularen Berechtigungsregeln eingefĂŒhrt, die es dem Nutzer ermöglichen, je nach Bedarf, einzelne Funktionseinheiten einer Anwendung zu deaktivieren, um dadurch die Zugriffsrechte der Anwendung einzuschrĂ€nken. ZusĂ€tzlich kann der Nutzer auch die Genauigkeit der Daten, die der Anwendung zur VerfĂŒgung gestellt werden, reduzieren. Das PPM wird in der Privacy Policy Platform (PMP) implementiert. Die PMP ist ein Berechtigungssystem, das nicht nur fĂŒr die Einhaltung der Datenschutzrichtlinien sorgt, sondern auch einige der Schutzziele der Datensicherheit erfĂŒllt. FĂŒr die PMP werden mehrere Implementierungsstrategien diskutiert und deren Vor- und Nachteile gegeneinander abgewogen. Um neben den Datenschutz auch die Datensicherheit gewĂ€hrleisten zu können, wird die PMP um den Secure Data Container (SDC) erweitert. Mit dem SDC können sensible Daten sicher gespeichert und zwischen Anwendungen ausgetauscht werden.
Die Anwendbarkeit der PMP und des SDCs wird an Praxisbeispielen aus vier unterschiedlichen DomĂ€nen (ortsbasierte Anwendungen, Gesundheitsanwendungen, Anwendungen in der Industrie 4.0 und Anwendungen fĂŒr das Internet der Dinge) demonstriert. Bei dieser Analyse zeigt sich, dass die Kombination aus PMP und SDC nicht nur sĂ€mtliche Schutzziele, die im Rahmen der vorliegenden Arbeit relevant sind und sich am ISO-Standard ISO/IEC 27000:2009 orientieren, erfĂŒllt, sondern darĂŒber hinaus sehr performant ist. Durch die Verwendung der PMP und des SDCs kann der Akkuverbrauch von Anwendungen halbiert werden