Im Projekt MALORI werden neue Methoden für versteckte Kommunikation von Malicious Software (Malware) in kritischen Infrastrukturen untersucht mit dem Ziel Verfahren zu entwickeln um diese versteckte Kommunikation zu erkennen und einzudämmen. Diese untersuchten Techniken betreffen vor allem den Bereich der Verschlüsselungsverfahren und Netzwerk–Steganografie (Covert Channels, Subliminal Channels). Dabei werden schwerpunktmäßig auf Machine Learning aufbauende Erkennungsverfahren angewendet, um ein vom Normalzustand abweichendes Kommunikations- oder Systemverhalten festzustellen, mit einem klaren Fokus auf den Möglichkeiten und Herausforderungen, die sich durch den Einsatz von Machine Learning im sicherheitskritischen Umfeld von MALORI ergeben.
Ausgehend von einer strukturierten und detaillierten Analyse der Kommunikation von Malware, einschließlich theoretischer Modelle verborgener Kommunikation entsprechend dem Stand der Technik, werden vorhandene und zukünftige Bedrohungsszenarien als Use Cases ausgearbeitet. Anhand entsprechender Szenarien werden neue Verfahren zur Erkennung und Eingrenzung von Malware in kritischen Infrastrukturen entwickelt. Das Design von Protokollen wird analysiert und Metriken entwickelt, um das Gefährdungspotential neuer Netzwerkprotokolle zu beurteilen und zu minimieren. Die Robustheit der Erkennungsverfahren gegen aktive Manipulationsversuche (Adversarial Machine Learning) wird untersucht und spielt eine entscheidende Rolle bei der Bewertung der Methoden.
Weiterführend wird ein gesamtheitlicher (holistischer) Erkennungsansatz verfolgt, der Daten unterschiedlicher Quellen und Verfahren für eine umfassendere Erkennung zusammenführt. Ziel dieses Ansatzes ist die Zuverlässigkeit der Erkennung mittels Einbeziehung verschiedener Analyseergebnisse, zusätzlichem Kontext und alternativer Perspektiven zu verbessern und auf diese Weise den Anteil fehlerhafter Alarme zu senken. Die wichtigsten Szenarien werden abschließend in einer IoT Security Laborumgebung mit realen Protokollen und Datenströmen aufgebaut und die Angriffs- und Erkennungsverfahren unter realitätsnahen Bedingungen evaluiert.
Die Ergebnisse des Projekts sind vorrangig für kritische Infrastrukturen anwendbar, können aber auch für andere Netze und Anwendungsfälle angepasst werden, wie z.B. weitere Internet-of-Things Szenarien oder klassische IT-Netze. Ziel ist es, die versteckte Kommunikation durch gezielte Auswahl von Protokollen zu erschweren, um die Angriffsfläche zu reduzieren sowie gleichzeitig aktive Maßnahmen anzubieten, um verdeckte Kommunikation frühzeitig zu erkennen und einzugrenzen.

• Partner: TU Wien, Institute of Telecommunications (Koordinator), Austrian Institute of Technology, IKARUS Security Software GmbH, Vorarlberger Kraftwerke AG, Wiener Netze GmbH, Universität Wien, Institut für Europarecht, Internationales Recht und Rechtsvergleichung, Abteilung für Völkerrecht und Internationale Beziehungen, Arbeitsgruppe Rechtsinformatik, Bundesministerium für Inneres, Austrian Energy CERT (via LoI)
• Projektlaufzeit: 01/2020 – 06/2022
• Förderprogramm: KIRAS Sicherheitsforschung - Herbstausschreibung 2017/18