Die Fruherkennung von neuen oder sich verandernden Angriffsvarianten ist im Umfeld der Internet-Infrastruktur-Sicherheit ein wichtiges Ziel. Dabei spielt die Erkennung unbekannter und schadlicher Software (Viren, Wurmer und trojanischen Pferde) eine zentrale Rolle.

Wir haben uns auf das Aufspuren von schadlicher Software konzentriert, welche sich selbstandig uber Netzwerke verbreitet und anschliessend ferngesteuert verschiedene illegale Aktionen ausfuhren kann (z.B. das Versenden von Spam-Mails).

Wir realisierten eine Architektur mit zwei Servern: Einerseits bestehend aus einem Server (Honeypot) mit einem Betriebssystem, welches haufiges Ziel der Malware ist. Andererseits mit einem Server (Firewall), der das gesamte System schutzt und auf welchem samtliche Auswertungen und administrativen Tatigkeiten erfolgen. Um die Aktivitaten der Malware auf dem Honeypot erkennen zu konnen und eine Analyse zu ermoglichen, entwickelten wir eine eigene Software.