Detection of Malicious Cryptomining in Network Metadata

zurück zur Übersicht

Projektart und Laufzeit

FFF-Förderprojekt, Dezember 2018 bis Dezember 2019

Koordinator

Institut für Wirtschaftsinformatik

Forschungsschwerpunkt

Geschäftsprozessmanagement

Forschungsgebiet/e

Big Data Analytics

Beschreibung

Kryptowährungen und denen zu Grunde liegenden Blockchain-Technologien sind eine der faszinierendsten Entwicklungen in der Informationstechnologie im letzten Jahrzehnt. Der Markt für Kryptowährungen erreichte 2017 einen historischen Höchstwert von über 600 Milliarden US-Dollar. Kryptowährungen erwiesen sich als eine bahnbrechende Technologie, deren wirtschaftliche Bedeutung kontinuierlich wächst. Zahlreiche Projekte und Unternehmen sind entstanden, die innovative Produkte und Dienstleistungen auf Basis von öffentlichen Blockchains anbieten.

Das erhebliche Interesse an Kryptowährungen und potenzielle Gewinne ziehen nicht nur Investoren, sondern auch Kriminellen an. Sicherheitsvorfälle in Unternehmen, die sich mit Kryptowährungen beschäftigen, führten zu massiven finanziellen Verlusten und in einigen Fällen sogar zum Konkurs der Opfer. Illegales Schürfen von Kryptowährungen ist eine weitere heimliche, aber nicht weniger lukrative Angriffstechnik. Durch den Einsatz von Mining-Software auf den Computern der Benutzer oder sogar in ihren Browsern können die Diebe ein dauerhaftes Einkommen von bis zu mehreren zehntausend US-Dollar pro Monat erzielen.

Um die Bedrohung durch illegales Kryptomining zu minimieren, werden in diesem Projekt Techniken erforscht, mit denen sowohl browser-basiertes als auch schadsoftware-basiertes Mining durch Netzverkehrsanalysen erkannt werden kann. Dabei wird ein neues Erkennungsverfahren entwickelt, welches als Grundlage die Netzwerk-Metadaten verwendet. Netzwerk-Metadaten können in der Regel auf Routern und Switches erhoben werden die das NetFlow-Format unterstützen. Solche Geräte können Netzverkehrsstatistiken sammeln und als NetFlow-Datensätze exportieren die anschliessend mit den Techniken des Maschinellen Lernens analysiert werden können. Der neue Ansatz sollte eine genaue Erkennung von illegalem Schürfen ermöglichen und gleichzeitig, durch den Verzicht auf die Analyse von Klartext-Netzwerkdaten, die Datenschutzanforderungen erfüllen. Im Gegensatz zu den bisherigen Techniken zur Erkennung von Kryptomining ist dieser Ansatz aus operativer Sicht viel praktischer. Er benötigt keine Installation einer speziellen Überwachungssoftware auf Endgeräten und erschwert massgeblich die Tarnung von Kryptomining als harmlosen Netzverkehr.

Förderer

  • Forschungsförderungsfonds der Universität Liechtenstein