Sandnet

Sandnet

Archiv - Übersicht
Internet-Kennzahlen-System
- Übersicht -Internet-Kennzahlen-System
- Ziel und Nutzen
- Einteilung der Zielgruppen
- Vorgehensweise
- Technische Umsetzung
- Partizipation
- Weiterführende Informationen
Internet-Frühwarnsysteme
- Internet-Analyse-System
- Logdaten-Analyse-System
- Internet-Verfügbarkeits-System
- Visualisierung vom Zustand des Internets
- Globale Sichtweise
- iAID
- FIDeS
- FISHA
- Ergebnisse - IFws
Botnetze
- Moderne Botnetzerkennung
- Botnetz-Analyse
- Sandnet
- Spam-Analyse
- IPMapViewer
- Blacklisting
- E-Mail-Adress-Harvesting
- Umfragen
- Mozi
Mobile Security
Vertrauenswürdige IT-Systeme
- Idee
- iTES
- Turaya
- tNAC
- STIT
- TCN
- F&E Vorhaben: Bundeswehr
- Medien
Identity Management
- Definitionen und Abgrenzung
- Mehrwerte bei IdM
- IdM-Referenzmodell
- IdM-Lebenszyklus
- Standards und Schnittstellen
- Anbieter und Produkte
Elektronischer Personalausweis
- Berechtigungszertifikat
- Bürgerclient
Security for smart objects
- Übersicht - Smart Home
- Secure eMobility(SecMobil)
Cloud Computing
Soziale Netze
Zahlungssysteme und Banktransaktionen
- Abschlussarbeit: Übersicht und Bewertung von Zahlungssystemen
- Symposium: Betrugsschutz beim Online-Banking
- Virtuelle Währungen
- Forschungsprojekt: Betrugsschutz beim Online-Banking
- Ein Alert-System im Online-Banking
- Ist-Analyse: Angriffe auf das Online-Banking
- Nutzeraspekte und Mensch-Maschine-Interaktion
Digitales Krankenhaus
- Übersicht - Digitales Krankenhaus
- Aufbau eines digitalen Krankenhauses
- Hintergrund
Sicheres Chatten
- Übersicht - Sicheres Chatten
- SecureChat
- MediationChat
- Zusammenarbeit
- Technologie
- Links - Sicheres Chatten
Software-Patente
Voice over IP
- Voice over IP-test
Web-Service-Security
Strukturelle Analyse des Internet
- Idee und Zielsetzung
- Ergebnisse - SAdI
- Links - SAdI
- Informationen
Verifi-eID
IT-Sicherheitskonzept Westfälische Hochschule
Gesundheitswesen
- Zelia (Zuhause eigenständig leben im Alter)
- MITASSIST
- Dexter
Blockchain Technologie
- Wie ist die Blockchain aufgebaut?
- Blockchain Technologie als Kollaborations-Tool
- Wie kann Blockchain helfen die IT-Sicherheit zu erhöhen?
- Veröffentlichungen
Homographischer Angriff auf Neon Wallet
Cybersicherheit und Künstliche Intelligenz
- Service-Meister
- Maschinelles Lernen in der Cybersicherheit
- Model Extraction Attack
- Evasion Attack
- Poisoning Attack

Das Sandnet ist eine kontrollierte Umgebung, die von uns für eine umfassende Analyse und zugleich schadlose Ausführung von Malware entwickelt wurde. Das Sandnet zeichnet sich durch eine detaillierte Analyse des durch Malware verursachten Netzwerkverkehrs aus. Auf dieser Webseite geben wir Auszüge von aktuellen Malware-Trends, die wir im Sandnet beobachten können. Eine ausführliche Beschreibung der Sandnet-Architektur sowie weitere Statistiken können der wissenschaftlichen Veröffentlichung "Sandnet: Network Traffic Analysis of Malicious Software" entnommen werden.

Netzwerkaktivität von Malware

Das Sandnet gibt einen Überblick über die Netzwerkaktivität von Malware. Die Verteilung der genutzten Netzwerkprotokolle zeigt, dass sich insbesondere DNS und HTTP als prävalente Protokolle hervorheben. Mehr als 9 aus 10 Malware-Samples nutzen DNS zur Auflösung von Hostnamen – die Verwendung von hart in der Malware eincodierten IP-Adressen nimmt spürbar ab. Mit einem Anteil von 58.6% ist HTTP das von Malware mit Abstand weit verbreitetste Anwendungsprotokoll. Auch SSL wird von immerhin knapp 12% der Malware-Samples verwendet. Abbildung 1 zeigt eine Übersicht der im Sandnet beobachteten Netzwerkprotokolle sortiert nach Popularität.

Detailanalyse des HTTP-Verkehrs

Wegen seiner Prävalenz eignet sich HTTP, um die Verwendung des Protokolls von Malware-Autoren im Detail zu untersuchen. So lädt Malware beispielsweise häufig eigene HTTP-Implementierungen nach, die zu Auffälligkeiten im Netzwerkverkehr führen. Abbildung 2 gibt einen Eindruck, wie viele HTTP-Requests Malware typischerweise während unserer einstündigen Analyse aufweist. Eine umfassendere Analyse der Verwendung von HTTP durch Malware wurde von den Autoren Christian Rossow und Christian J. Dietrich in Form des o.g. wissenschaftlichen Artikels veröffentlicht.

Weitere Informationen zum Sandnet

Das Sandnet wird derzeit zu Forschungszwecken intensiv vom Institut für Internet-Sicherheit verwendet. Wir sind insbesondere darum bemüht, neue Kooperation zu etablieren, die dem Austausch von Malware-Samples dienen oder die Entwicklung von verwandten Forschungsaufgaben als Ziel haben. Als Ansprechpartner stehen Christian J. Dietrich und Christian Rossow jederzeit gerne zur Verfügung.

Institut für Internet-Sicherheit – if(is)

Sandnet

Netzwerkaktivität von Malware

Detailanalyse des HTTP-Verkehrs

Weitere Informationen zum Sandnet

anschrift

kontakt

spenden