Malflow: um framework para geração automatizada de assinaturas de malwares baseado em fluxo de dados de rede

Imagem de Miniatura

Arquivos

silva_rc_me_sjrp_int.pdf (2.06 MB)

Data

2017-01-23

Autores

Silva, Raphael Campos [UNESP]

Título da Revista

ISSN da Revista

Título de Volume

Editor

Universidade Estadual Paulista (Unesp)

Resumo

A garantia de segurança em ambientes computacionais é complexa, uma vez que a expertise dos atacantes e o número de ameaças têm aumentado. De forma a lidar com o aumento de incidentes de segurança, é necessária uma metodologia que automatize o processo de análise de ameaças e forneça assinaturas de ataques para os ambientes de defesa. Este projeto propõe uma metodologia para criação automatizada de assinaturas para malware baseado em fluxo de dados de redes. A partir de múltiplas execuções de uma amostra de malware, são encontradas semelhanças entre o tráfego de rede gerado em cada uma de suas execuções. O processo de encontrar semelhanças baseia-se em: (i) geração de um hash para cada uma das conexões realizadas pelo malware, no qual cada hash irá representar um elemento de uma sequência e (ii) utilização do algoritmo LCS para encontrar uma subsequência em comum mais longa entre duas sequências geradas a partir das conexões realizadas pelo malware durante cada uma de suas execuções. Uma vez encontrada a subsequência em comum mais longa, os descritores das conexões realizadas pelo malware são recuperados, os quais irão compor os passos de uma assinatura. Por fim, as assinaturas geradas serão testadas para identificação de falsos-positivos e verdadeiros-positivos, para que sejam selecionadas com o intuito de alimentar um Sistema de Detecção de Intrusão.
The guarantee of security in computing environments is complex, since the expertise of the attackers and the numbers of threats have increased. In order to handle the increased security incidents, is required a methodology to automate the process of threat analysis and provide signatures to defense environments. This project proposes a methodology to generate signatures automatically, based on network flows. From multiple execution of a malware sample, similarities are found between the network traffic generated in each of its executions. The process of finding similarity is based on: (i) Generation of a hash for each connection performed by the malware, where each hash will represent an element of a sequence and (ii) application of the LCS algorithm to find the longest common subsequence between two sequences generated from the connections performed by the malware during each of its executions. Once the longest common subsequence is found, the descriptors of the connections performed by the malware are retrieved, which will compose the steps of a signature. Finally, the generated signatures will be tested for false positive and true positive identification, so that they are selected with the intention of feeding an Intrusion Detection System.

Descrição

Palavras-chave

Malware, Análise dinâmica, Mecanismo de geração de assinatura, Geração automatizada de assinatura, Sistemas de detecção de intrusão baseados em rede, Dynamic analysis, Signature generation mechanism, Automated signature generation, Network intrusion detection systems

Como citar

URI

http://hdl.handle.net/11449/148745

Coleções

Dissertações - Ciência da Computação - IBILCE