Software soll Cyberattacken erkennen

An der US-Universität von Buffalo entwickelt man ein Programm zum frühzeitigen Erkennen von Cyberattacken. Das User-Level Anomaly Detection System wurde auf der MILCOM 2002 (Military Communications Conference) vorgestellt, die von 7. bis 10. Oktober im kalifornischen Anaheim stattfand. Zum Einsatz kommen soll die Software in sicherheitskritischen Bereichen, wo sie Profile der Computeraktivitäten von Usern erstellt und mit "normalen Aktivitätsmustern" vergleicht. Treten signifikante Abweichungen von der Norm auf, lässt sich dies als eine mögliche Cyberattacke deuten und ein Feintuning des auffälligen Verhaltens beginnt. "Wir haben zwei bekannte Methoden miteinander verheiratet", erklärt Projektleiter Professor Shambhu Upadhyaya, nämlich "die Erkennung von falschem sowie von anormalem User-Verhalten am Computer".

Das Programm sucht gezielt nach einer Reihe von Mustern, die innerhalb eines als "normal" definierten Ablaufs erfolgen. "Wenn Sie zum Beispiel ein Dokument erstellen wollen, dann machen Sie bestimmte Handlungen in einer bestimmten Reihenfolge", erläutert Upadhyaya. "Sie öffnen das Dokument mit einem Textbearbeitungsprogramm, nutzen vielleicht eine Rechtschreibkorrektur. Unser System kennt alle Schritte, die nötig sind, um die gesamte Aufgabe zu vollenden. Jede Abweichung vom üblichen Schema zeigt eine potenzielle Cyberattacke an." Da das System Userverhalten permanent überwacht, kann es eine Abweichnung nicht erst im Nachhinein, sondern unmittelbar erkennen. (ae)