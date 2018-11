Die Abwehr von Schad-Software ist ein ständiges Hase-Igel-Rennen. Mit DeepRay will G Data in die Rolle des Igels übernehmen, der immer schon da ist, wenn der Hase ankommt. Dazu analyisiert der Virenwächter Dateien mit KI-Methoden, die vor allem darauf abzielen, eigentlich bekannte, aber getarnte Malware zu entdecken.

Das System wird dabei kontinuierlich belernt. In die Erkennung fließen Faktoren wie das Verhältnis von Dateigröße zu tatsächlichem Code mit ein. (Bild: G Data)

G Data kündigt das an mit: "Künstliche Intelligenz bringt Durchbruch in der Bekämpfung von Cybercrime" – und triggert mit den Schlüsselbegriffen "Durchbruch", "KI" und "Cybercrime" in einem Satz erst einmal die mühsam antrainierte Spam-Erkennung manch echter Intelligenz. Doch hinter DeepRay steckt ein durchaus valider Ansatz. Er beruht auf der Erkenntnis, dass die Kriminellen ihre Schad-Software keineswegs ständig neu schreiben. Statt dessen wird der bewährte Code mit den Kern-Funktionen nur immer wieder neu verpackt, um ihn an der AV-Software vorbei zu schleusen.

KI-Erkennung mit neuronalen Netzen

Damit enthält die von der AV-Software untersuchte Datei den Schad-Code nur in verschlüsselter Form. Der findet sich dann zwar später in entschlüsselter Form im Arbeitsspeicher. Doch den kann der Wächter schon aus Ressourcengründen nicht ständig überwachen. Die Aufgabe von DeepRay ist es, das verdächtige Entpacken von Code mit Methoden aus der KI-Forschung möglichst zuverlässig zu erkennen. Zentrales Element ist dabei ein kontinuierlich trainiertes neuronales Netz. Schlägt diese Erkennung an, erfolgt eine Analyse des Arbeitsspeichers, die dort nach bekannten Mustern von Schad-Software sucht. Wird dabei Schadcode entdeckt, stoppt der Virenwächter den Prozess.

Dabei untersucht der Virenwächter übrigens nicht nur den Speicher des aktuell verdächtigten Prozesses sondern auch all diejenigen Prozesse, auf die der zugegriffen hat, um dort etwa Speicher zu reservieren. Dahinter steckt die Erkenntnis, dass Malware ihren Schad-Code häufig in andere, scheinbar harmlose Prozesse des Systems injiziert.

Diese Schutzfunktion soll ab sofort als Update an G-Data-Kunden verteilt werden. Sie wird damit die herkömmlichen Techniken wie die Erkennung mit Signaturen und Heuristik ergänzen. Ob das die Spielregeln tatsächlich so radikal ändern wird, wie von G Data behauptet, muss sich erst in Tests und vor allem im Alltag der Anwender zeigen. Interessant klingt das Konzept aber allemal. (ju)