Detekce malware pomocí identifikace periodického chování – Bc. Martin Korec

Abstract:

Šírenie škodlivého softvéru, ktorý používa C&C architekrútu predstavuje vážnu hrozbu pre bezpečnosť počítačových systémov a sieti. Bežné prístupy ako detekcia na základe signatúr, honeypoty alebo detekcia na koncových zariadeniach zlyháva detekovať nové rožsirujúce sa hrozby. V tejto práci, je navrhnutý algoritmus na detekciu opakujúcich sa a periodických vzorov správania na základe analýzy sieťových tokov komunikácie, ktorá môže byť videná z infikovaných zariadení. Bolo analyzovaných niekoľko malwarových vzorkov zo sieťovej perspektívy a poďla analyzovaného správania, bola navrhnutá detekčná metóda, implementovaná do softvéru GREYCORTEX MENDEL a následne vyhodnotená na reálnych dátach. Prezentované výsledky sú diskutované spolu s analýzou falošnej detekcie. Detekčné schopnosti sú zvýšené pomocou navrhnutých korelačných pravidiel. …moreless

Abstract:

The proliferation of malware using C&C infrastructure has presented a serious threat to the security of computer systems and networks. Standard approaches like signature-based detection, honeypots, or detection on the endpoint fail to detect new emerging threats. In this thesis, an algorithm is proposed for detecting repetitive and periodic patterns based on the network flows, which can be observed from the infected devices. Several malware samples were analyzed from the network perspective and according to observed periodic behavior, the proposed detection method is implemented to GREYCORTEX MENDEL software and evaluated on the real network. The results are presented. The false positive analysis is also discussed. Finally, the detection capabilities are increased by the use of correlation rules. …moreless