Man-in-the-Browser Detection

Ein heutzutage weit verbreiteter Angriffsvektor auf Webapplikationen, im Besonderen E-Banking-Applikationen, stellen die Man-in-the-Browser Trojaner wie z.B. Gozi dar. Mittels der heutigen Schutzmechanismen ist es jedoch oft für den Betreiber der Webapplikation sehr schwierig oder gar unmöglich, eine solche Bedrohung erkennen zu können. Die entwickelte Security-Lösung MarkovShield setzt auf ein neuartiges Verfahren, welches die Requests auf eine Webapplikation in Echtzeit überprüft. Die Requests werden von einem Reverse Proxy erst nach einer positiven Analyse an die Webapplikation weitergeleitet. Die Analyse, welche mit dem Stream Processing Framework Apache Flink durchgeführt wird, detektiert Anomalien im aktuellen Benutzerverhalten, welche auf einen infizierten Computer schliessen lassen. Für die Analyse werden die Daten von vergangenen Sessions desselben Benutzers genutzt um ein Modell zu erstellen, welches das erwartete Benutzerverhalten möglichst akkurat widerspiegelt. Die erforderlichen Daten werden dabei durch das neu entwickelte Apache Modul mod_mshield erfasst und an Apache Kafka weitergeleitet, welches die verwendete Schnittstelle zu Apache Flink darstellt. Die implementierte Analyse setzt einerseits auf die Übergänge zwischen den aufgerufenen Seiten und andererseits auf die Anzahl der Aufrufe auf eine einzelne Webseite. Bei der Entwicklung der Lösung wurde grossen Wert auf die Erweiterbarkeit und Skalierbarkeit, sowohl der einzelnen Komponenten als auch der Gesamtlösung, gelegt.