»Deep Ray«: G Data rückt Malware mit Machine Learning zu Leibe

Eine Neuentwicklung namens »Deep Ray« erweitert die Security-Produkte von G Data. Sie nutzt Machine Learning, um verdächtige Dateien zu identifizieren. Anschließend werden diese im Speicher näher untersucht. So soll auch unbekannte und gut getarnte Malware aufgespürt werden.

(Foto: Fotomay - AdobeStock)

G Data erweitert seine Sicherheitslösungen um einen zusätzlichen Erkennungsmechanismus. Der wurde »Deep Ray« getauft und besteht aus zwei Komponenten: einem neuronalen Netz und einer Speicheranalyse. Das neuronale Netz wurde vom Hersteller mit unzähligen schädlichen Dateien trainiert und soll sich im Laufe der Zeit immer weiter verbessern. Es analysiert mehrere Hundert Merkmale von Dateien – etwa das Verhältnis von Dateigröße und ausführbarem Code, den verwendeten Compiler oder die Zahl der importierten Systemfunktionen – und entscheidet ahand dessen, ob eine Datei verdächtig ist oder nicht.

Laut G Data soll sich so auch Malware aufspüren lassen, die Cyberkriminelle neu verpackt haben, um Virenscanner auszutricksen. Denn Cyberkriminelle würden in der Regel nur eine Kernmalware entwickeln und diese dann in immer neuen Formen verteilen, erklärt Thomas Siebert, Leiter Protection Technologies beim Hersteller. Als Beleg führt er die nur langsam steigende Zahl neuer Schädlingsfamilien an, der eine exponentiell steigende Zahl von Malware gegenübersteht. »Dahinter steckt ein Business-Modell«, sagt er. »Die Kriminellen müssen nur einmal in die Entwicklung der Kernmalware investieren, deren Distribution in immer neuer Verpackung dann extrem billig ist.«

Hat das neuronale Netz eine Datei als verdächtig eingestuft, werden die zugehörigen Prozesse im Speicher einer Tiefenanalyse unterzogen – nicht nur die der Datei selbst, sondern auch andere, die sie aufruft oder verändert. Das soll die Manipulation beziehungsweise das Kapern fremder Prozesse entdecken. Im Prinzip schaue man durch den Packer hindurch, was der Kern der Malware tue, erklärt Siebert. »So erkennen wir am Ende sogar dateilose Malware und können auch False Positives ausfiltern, die das neuronale Netz geliefert hat.«

Übersicht