Juniorprofessur für Sicherheit in Informationssystemen
ARADIA

ARADIA

Projektleitung Universität Passau

Prof. Hans P. Reiser

Projektmitarbeiter

Stewart Sentanoe
Benjamin Taubmann
Noëlle Rakotondravony

 

Zusammenfassung

Virtual Machine Introspection (VMI) ermöglicht es, von außen den inneren Zustand einer virtuellen Maschine zu analysieren. VMI hat sich für Aufgaben wie Einbruchserkennung, Malware-Analyse und Forensik bewährt. Im Vergleich zu Analysetechniken innerhalb des Zielsystems profitiert VMI von der Isolation durch den Hypervisor und ist unauffälliger und besser manipulationsgeschützt.

Dieses Projekt wird den Stand der Technik von VMI signifikant verbessern. Die wichtigsten Ziele sind hierzu folgende:

  • Erforschung innovativer Ansätze für tiefgehende Speicherintrospektion: Es werden effiziente Algorithmen zur Untersuchung von Zielsystemen mit geschachtelten Hypervisoren oder virtuellen Containern, zur effizienten und feingranularen semantischen Interpretation, sowie zur exakten zeitlichen Kontrolle der Introspektion gesucht.
  • Effiziente VMI-basierte Ereignisverfolgung: Anders als existierende Systeme, die nur einzelne Ereignisquelle (wie z.B. Systemaufrufe) beobachten, ist es unser Ziel, mehrere Ereignisquellen zu integrieren, die Ereignisse dieser Quellen zu korrelieren und die Erfassung flexible nach Bedarf zu orchestrieren, um so die Laufzeitkosten zu minimieren und gleichzeitig hochgradig detaillierte Daten zu erfassen.
  • Sicheres und effizientes VMI-Deployment in Umgebungen wie privaten und öffentlichen Cloud-Infrastrukturen und mobilen Plattformen: Der Mangel an Deployment-Unterstützung ist eine der größten Einschränkung von heute existierenden VMI-Systemen. Teil dieses Ziel ist es auch, Ziel-VMs während einer Migration in Cloud-Umgebungen zu beobachten sowie die Machbarkeit des Einsatzes von neuer Hardware-Mechanismen wie Intel SGX zu untersuchen.
  • Zugänglichkeit von VMI für menschliche Nutzer: Zentraler Schritt jeder VMI-basierten Analyse ist die Extraktion von verwertbaren Informationen aus Low-Level-Daten. Unsere erwarteten Resultate sind eine Architektur zur leicht zugänglichen Speicherung und Aufbereitung von VMI-Daten, neue Ansätze zur Visualisierung der kombinierten Daten aus mehreren Quellen sowie Mechanismen zur dynamischen Steuerung der VMI-basierten Datenerfassung.

Insgesamt soll dieses Projekt ermöglichen, dass VMI auf Systemen eingesetzt werden kann, wo dies heute nicht möglich ist, dass wesentlich umfangreichere Information mit tiefgehender Introspektion und Ablaufverfolgung erfasst werden, und dass der menschliche Nutzer die VMI-Mechanismen kontrollieren und die Ergebnisse besser visualisieren kann.

Wir planen, unsere innovativen Algorithmen und Strategien in einem Open-Source-Prototypen für erweitertes VMI umzusetzen, und so auch die Entwicklung von darauf aufbauenden Werkzeugen zur Angriffserkennung, -analyse und -verhinderung zu unterstützen.

Projektträger

Logo der Deutsche Forschungsgemeinschaft

Deutsche Forschungsgemeinschaft