Das Projekt befasst sich mit der Erkennung von bösartigen Inhalten in formatierten Dokumenten. In aktuellen Angriffen gegen Rechnersysteme wird häufig Schadcode in Inhalt der Dokumente versteckt. Erkennung von bösartigen Dokumenten ist nur möglich, wenn die Erkennungsmethoden Kenntnis von format-spezifischer Syntax und Semantik haben. Eine format-bezogene Analyse wurde in früheren Arbeiten nur in Einzelfällen, z.B. für eingebetteten JavaScript-Code, durchgeführt. Hauptziel dieses Projektes ist dagegen, eine allgemeine Methodik für format-bezogene Analysen zu entwickeln und somit die Erkennung von bösartigen Dokumenten zu verbessern. Die Kernidee der neuen Methodik ist, Dokumente in ein Zwischenformat umzuwandeln, welches für wesentliche Verarbeitungsschritte verwendet wird. Dieses Zwischenformat besteht aus hierarchisch angeordneten Schlüssel-Wert-Paaren (HKV). Durch das Zwischenformat wird die Analyse von spezifischen Eigenschaften des Dokumentenformates entkoppelt, jedoch die allgemeine Semantik des Inhaltes beibehalten. Um die o.g. Methodik auf neue Formate anzuwenden, soll nur die Konvertierung nach HKV umgesetzt werden, ohne dass die Erkennungsmethoden neu konzipiert werden müssen. Die wichtigste wissenschaftliche Aufgabe des Projektes ist die Entwicklung von Analysetechniken für das HKV-Format. Die wenigen der früheren Arbeiten, die sich mit Schlüssel-Wert-Darstellung befassten, können nicht die für komplexe Dokumentenformate erforderliche Skalierung erreichen. Um auf diese Herausforderung einzugehen, werden Methoden des maschinellen Lernens angewandt, die insbesondere für die Analyse von großen Mengen hochdimensionaler Daten geeignet sind. Auf dieser Weise werden neue Methoden für die Plausibilitätsbewertung der Werte einzelner Schlüssel, sowie für die Einschätzung des mit den Dokumenten verbundenen Risikos entwickelt.

DFG Programme Research Grants