Detailseite
Projekt Druckansicht

ARADIA: Plattformübergreifende Architektur zur nutzerorientierten, statischen und dynamischen Introspektion virtueller Maschinen.

Fachliche Zuordnung Sicherheit und Verlässlichkeit, Betriebs-, Kommunikations- und verteilte Systeme
Förderung Förderung von 2017 bis 2022
Projektkennung Deutsche Forschungsgemeinschaft (DFG) - Projektnummer 361891819
 
Virtual Machine Introspection (VMI) ermöglicht es, von außen den inneren Zustand einer virtuellen Maschine zu analysieren. VMI hat sich für Aufgaben wie Einbruchserkennung, Malware-Analyse und Forensik bewährt. Im Vergleich zu Analysetechniken innerhalb des Zielsystems profitiert VMI von der Isolation durch den Hypervisor und istunauffälliger und besser manipulationsgeschützt.Dieses Projekt wird den Stand der Technik von VMI signifikant verbessern. Die wichtigsten Ziele sind hierzu folgende:Zum ersten werden wir innovative Ansätze für tiefgehende Speicherintrospektion erforschen. Die angestrebten Ergebnisse sind effiziente Algorithmen zur Untersuchung von Zielsystemen mit geschachtelten Hypervisoren oder virtuellen Containern, zur effizienten und feingranularen semantischen Interpretation, wie z.B. das Auflösen von Variablen- und Funktionsnamen eines Prozesses, sowie zur exakten zeitlichen Kontrolle der Introspektion.Zum zweiten betrachten wir effiziente VMI-basierte Ereignisverfolgung. Anders als existierende Systeme, die nur einzelne Ereignisquelle (wie z.B. Systemaufrufe) beobachten, ist es unser Ziel, mehrere Ereignisquellen zu integrieren, die Ereignisse dieser Quellen zu korrelieren und die Erfassung flexible nach Bedarf zu orchestrieren, um so die Laufzeitkosten zu minimieren und gleichzeitig hochgradig detaillierte Daten zu erfassen.Zum dritten werden wir das Problem des sicheren und effizienten VMI-Deployments in Umgebungen wie privaten und öffentlichen Cloud-Infrastrukturen und mobilen Plattformen erforschen. Der Mangel an Deployment-Unterstützung ist eine der größten Einschränkung von heute existierenden VMI-Systemen. Teil dieses Ziel ist es auch, Ziel-VMs während einer Migration in Cloud-Umgebungen zu beobachten sowie die Machbarkeit des Einsatzes von neuer Hardware-Mechanismen wie Intel SGX zu untersuchen.Zum vierten ist es unser Ziel, VMI für menschliche Nutzer zugänglicher zu machen. Zentraler Schritt jeder VMI-basierten Analyse ist die Extraktion von verwertbaren Informationen aus Low-Level-Daten. Unsere erwarteten Resultate sind eine Architektur zur leicht zugänglichen Speicherung und Aufbereitung von VMI-Daten, neue Ansätze zur Visualisierung der kombinierten Daten aus mehreren Quellen sowie Mechanismen zur dynamischen Steuerung der VMI-basierten Datenerfassung.Insgesamt soll dieses Projekt ermöglichen, dass VMI auf Systemen eingesetzt werden kann, wo dies heute nicht möglich ist, dass wesentlich umfangreichere Information mit tiefgehender Introspektion und Ablaufverfolgung erfasst werden, und dass der menschliche Nutzer die VMI-Mechanismen kontrollieren und die Ergebnisse besser visualisieren kann. Wir planen, unsere innovativen Algorithmen und Strategien in einem Open-Source-Prototypen für erweitertes VMI umzusetzen, und so auch die Entwicklung von darauf aufbauenden Werkzeugen zur Angriffserkennung, -analyse und -verhinderung zu unterstützen.
DFG-Verfahren Sachbeihilfen
 
 

Zusatzinformationen

Textvergrößerung und Kontrastanpassung