> > > > Intel und Microsoft verwenden die GPU zur Virus- und Malware-Erkennung

Intel und Microsoft verwenden die GPU zur Virus- und Malware-Erkennung

Veröffentlicht am: von

intelEine neue Initiative von Intel soll die Systeme seiner Kunden sicherer machen. Dazu werden die Ressourcen der Prozessoren für eine Threat Detection Technology (TDT) verwendet. Die Initiative wird zunächst aus zwei spezifischen Funktionen bestehen: Advanced Memory Scanning und Advanced Platform Telemetry.

Das Advanced Memory Scanning soll dazu verwendet werden, unzulässige Zugriffe durch Malware zu erkennen. Inzwischen tut sich Antivirus-Software, die ausschließlich die HDD/SSD überwacht, hier recht schwer. Auf der anderen Seite muss Schadsoftware, die keine Daten auf den Massenspeichern ablegt, nach jedem Reboot das System reinfizieren – es ist wie gesagt aber schwer zu erkennen und zu analysieren. Um den Arbeitsspeicher in dieser Form zu überwachen, sind einige Hardware-Ressourcen notwendig. Intel spricht von etwa 20 % Prozessorlast für eine ständige Analyse.

Hier kommt das Advanced Memory Scanning ins Spiel. Anstatt dass die CPU den Speicher nach verdächtiger Malware durchsucht, soll diese Aufgabe an die GPU übergeben werden. Durch die Verwendung der integrierten GPU soll die CPU-Last wieder auf ein Niveau von etwa 2 % fallen. Über eine API soll Drittanbieter-Software das Advanced Memory Scanning ausführen können. Über ein Windows-10-Update soll Windows über den Microsoft Windows Defender Advanced Threat Protection (ATP) dazu in der Lage sein.

Die zweite Funktion ist die Advanced Platform Telemetry. Damit Malware ihre Arbeit verrichten kann, müssen Hardware-Ressourcen verwendet werden – beispielsweise durch ungewöhnliche Schreib- und Lesezugriffe einer Crypto-Malware, welche die Daten des Nutzers verschlüsselt. Mit der Advanced Platform Telemetry will man die Verwendung entsprechender Hardware-Ressourcen frühzeitig und auf Ebene der Hardware erkennen.

Als Beispiel sei eine mögliche Spectre-Attacke angeführt, die ungewöhnliche und spekulative Branch Predictions ausführt. Dies kann durch Software nicht frühzeitig erkannt werden, die Hardware selbst ist dazu aber in der Lage. Für eine solche Analyse reicht es aber nicht aus, die Daten nur lokal zu erheben, sondern ein ungewöhnliches Verhalten ist nur schwer zu erkennen und muss daher mit dem Verhalten anderer Systeme abgeglichen werden. Dazu wird ein Machine-Learning-System mit den Daten gefüttert, welches diese dann auswertet.

Sowohl Advanced Memory Scanning als auch Advanced Platform Telemetry werden unter einem neuen Sicherheits-Merkmal Security Essentials zusammengefasst. Darin bereits integriert sind Funktionen wie AES-NI und SGX – nun aber eben unter einem Schirm zusammen mit den neuen Funktionen. Während des Advanced Memory Scanning aber recht bald ein Bestandteil von Windows 10 bzw. dem Windows Defender wird, bleibt die Integration der Advanced Platform Telemetry zunächst auf das Enterprise-Segment bzw. entsprechende Prozessoren (Atom und Xeon) beschränkt.

Social Links

Ihre Bewertung

Ø Bewertungen: 5

Tags

Kommentare (5)

#1
customavatars/avatar184385_1.gif
Registriert seit: 11.12.2012

Hauptgefreiter
Beiträge: 195
Um mein System sicher zu halten muss ich also bei APT Daten mit einer KI teilen, die auch die Daten Millionen anderer Rechner auswertet..? Kommt mir irgendwie datenschutzmäßig suspekt vor...
#2
customavatars/avatar99413_1.gif
Registriert seit: 25.09.2008
Bochum
Kapitänleutnant
Beiträge: 1772
Hab ich nix von, da meine CPU keine iGPU hat :D
#3
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 12470
@KaHaKa
Wo liest du das heraus?

Maximal im Falle einer gefundenen Schadsoftware wäre es sinnvoll diese Information zu teilen, aber auch davon steht erstmal nichts in dem Projekt.
#4
Registriert seit: 12.01.2012
Bayern
Leutnant zur See
Beiträge: 1061
Zitat DragonTear;26268510
@KaHaKa
Wo liest du das heraus?

Maximal im Falle einer gefundenen Schadsoftware wäre es sinnvoll diese Information zu teilen, aber auch davon steht erstmal nichts in dem Projekt.


sehe ich ähnlich, beim Defender kann man ja sogar extra einstellen was man will, Echtzeitschutz, Cloudbasierter Schutz (infos -> ms über poti Sicherheitsrisiken) und dann nochmal nen extra Schalter für Automatische Übermittlung von Beispielen.
#5
Registriert seit: 01.08.2017
ganz im Westen
Leutnant zur See
Beiträge: 1171
Ich denke KaHaKa wollte auf diesen Satz hinaus

Zitat
Dazu wird ein Machine-Learning-System mit den Daten gefüttert, welches diese dann auswertet.


Das klingt, als ob die Daten extern verarbeitet werden.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren: