KLASSIFIZIERUNG VON SCHADSOFTWARE ANHAND VON SIMULIERTEM NETZWERKVERKEHR



Ähnliche Dokumente
1 Einleitung. Lernziele. automatische Antworten bei Abwesenheit senden. Einstellungen für automatische Antworten Lerndauer. 4 Minuten.

Exploration und Klassifikation von BigData

How-to: Webserver NAT. Securepoint Security System Version 2007nx

ARAkoll 2013 Dokumentation. Datum:

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Copyright 2014 Delta Software Technology GmbH. All Rights reserved.

SOLID EDGE INSTALLATION STANDARD PARTS am Client. INSTALLATION Standard Parts am Client

Installation von NetBeans inkl. Glassfish Anwendungs-Server

Wo möchten Sie die MIZ-Dokumente (aufbereitete Medikamentenlisten) einsehen?

Tritt beim Aufruf ein Fehler aus, so wird eine MessageBox mit dem Fehlercode und der Kommandozeile angezeigt.

Anbindung einer Gateprotect GPO 150

Installationsanleitung für Update SC-Line

SOFiSTiK AG Installationsanleitung

HOSTED EXCHANGE EINRICHTUNG AUF SMARTPHONES & TABLETS

Einrichtung von Mozilla Thunderbird

Einführung in Subversion

Neuerungen PRIMUS 2014

CLX.Sentinel Kurzanleitung

Windows Server 2012 R2 Essentials & Hyper-V

ColorLogic CoPrA Version 1.6

Internet online Update (Internet Explorer)

Rechnernetze Praktikum Versuch 8: Zertifikate, Sicherheit in öffentlichen Netzen

Wie lese ich mein Zertifikat in dakota.le 6.0 ein?

euro-bis Import von Bestellungen aus Buch- und Aboauskunft Stand

PCC Outlook Integration Installationsleitfaden

In 12 Schritten zum mobilen PC mit Paragon Drive Copy 11 und Microsoft Windows Virtual PC

Skyfillers Hosted BlackBerry. Kundenhandbuch

Multiplayer Anweisungen

Einrichten eines E- Mail Kontos mit Mail (Mac OSX)

Zertifikat in dakota einlesen Wie lese ich mein Zertifikat in dakota.le ein?

Hinweise zur Installation der USB Treiber für Windows XP 32bit

Vorgehensweise bei Lastschriftverfahren

Schuljahreswechsel im Schul-Webportal

Um zusammenfassende Berichte zu erstellen, gehen Sie folgendermaßen vor:

Datenübernahme in ein Produkt der Lexware premium, professional oder plus line

PTV VISWALK TIPPS UND TRICKS PTV VISWALK TIPPS UND TRICKS: VERWENDUNG DICHTEBASIERTER TEILROUTEN

WLAN am Campus Lichtenberg der HWR Berlin

ZEITSYNCHRONISATION IM DS-WIN EINRICHTEN

Session Management und Cookies

ASV-Betrieb für die Coburger Schulen. Einbindung externer Schulen via RemoteApp

Oracle APEX Installer

1. Laden Sie sich zunächst das aktuelle Installationspaket auf herunter:

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

Unified Communication Client Installation Guide

Dokumentation. Black- und Whitelists. Absenderadressen auf eine Blacklist oder eine Whitelist setzen. Zugriff per Webbrowser

PowerWeiss Synchronisation

Handbuch Offline-Abgleich

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

P CALC Die Präferenzkalkulation

Ihr IT-Administrator oder unser Support wird Ihnen im Zweifelsfall gerne weiterhelfen.

HSR git und subversion HowTo

Ihr Benutzerhandbuch AVIRA ANTIVIR EXCHANGE

teamsync Kurzanleitung

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten

System-Update Addendum

COSIDNS 2 ISPconfig3. Version 0.1 ( )

Kurzanleitung für die Abgabe der Abrechnung über das Mitgliederportal der KV Sachsen

Anleitung zur Installation von SFirm 3.1 inklusive Datenübernahme

LANiS Mailversender ( Version 1.2 September 2006)

SyMobile Installationsanleitung

Dieses Dokument beschreibt die Installation des Governikus Add-In for Microsoft Office (Governikus Add-In) auf Ihrem Arbeitsplatz.

1 Installation QTrans V2.0 unter Windows NT4

Naturgewalten & Risikoempfinden

Dokumentation zeitgesteuerter -Versand mit Attachments. zum Projekt. Deutsche Gesellschaft für Zahn-, Mund- und Kieferheilkunde

Bitte unbedingt lesen! Update-Dokumentation

Anleitung Einrichtung Hosted Exchange. Zusätzliches Outlookprofil einrichten

HOWTO Update von MRG1 auf MRG2 bei gleichzeitigem Update auf Magento CE 1.4 / Magento EE 1.8

Inbetriebnahme einer Fritzbox-Fon an einem DSLmobil Anschluss Konfiguration einer PPPOE-Einwahl (DSLmobil per Funk)

Windows Verbindung mit WLAN BZPflege trennen Verbindung mit WLAN EDU-BZPflege automatisch erstellen... 30

Version NotarNet Bürokommunikation. Bedienungsanleitung für die Einrichtung POP3/IMAP und SMTP in Mozilla Thunderbird


Dokumentation zum Spielserver der Software Challenge

Software Engineering. Zur Architektur der Applikation Data Repository. Franz-Josef Elmer, Universität Basel, HS 2015

BEDIENUNGSANLEITUNG: EINREICH-TOOL

Christian J. Dietrich dietrich [at] internet-sicherheit. de. Institut für Internet-Sicherheit FH Gelsenkirchen

Dokumentation für Windows

OP-LOG

Informationen als Leistung

Benutzerhandbuch MedHQ-App

Internet online Update (Mozilla Firefox)

emlp: e-learning Plattform und mobile Lösungen für Military Operations EUROKEY Software GmbH Ludwig Kuhn

Tastatur auf Hebräisch umstellen

Systemvoraussetzungen

WARY Notariat Urkundenrolle V2013

InSite-Webportal SCHNELL Anleitung

Elexis-BlueEvidence-Connector

Windows 2008R2 Server im Datennetz der LUH

O UTLOOK EDITION. Was ist die Outlook Edition? Installieren der Outlook Edition. Siehe auch:

Titel. App-V 5 Single Server Anleitung zur Installation

So geht s Schritt-für-Schritt-Anleitung

ZID Hotline

Einspielanleitung für das Update DdD Cowis backoffice DdD Cowis pos

Einrichtung Ihres 3 Konto unter MAC OS

Hinweise zum Update des KPP Auswahltools (Netzwerkinstallation) auf Version 7.2

Einbindung einer ACT!12-16 Datenbank als Datenquelle für den Bulkmailer 2012

Version 0.3. Installation von MinGW und Eclipse CDT

INHALT 1. INSTALLATION DES V-MODELL XT UNTER WINDOWS 7 2. INSTALLATION DES V-MODELL XT UNTER WINDOWS VISTA

Stammdatenanlage über den Einrichtungsassistenten

Transkript:

Retail KLASSIFIZIERUNG VON SCHADSOFTWARE ANHAND VON SIMULIERTEM NETZWERKVERKEHR Technology Life Sciences & Healthcare Florian Hockmann Ruhr-Universität Bochum florian.hockmann@rub.de Automotive Consumer Energy & Chemicals

ÜBERSICHT Motivation Stand der Forschung Internet-Simulation Malware-Kommunikation Clustering mit DBSCAN Ergebnisse 2

MOTIVATION Ausgangslage: >100.000 Samples pro Tag Ziel: Automatische Analyse Samples anhand ihres Verhaltens klassifizieren Zuordnung: Samples Familien Klassifizierung neuer Malware 3

STAND DER FORSCHUNG Malware-Clustering anhand von: Statischer Analyse (IAT, Call-Graphen, ) Verhaltensbasierter Analyse: API Calls Kommunikationsverhalten Bisher (hauptsächlich): 1. Grundlage: Echtes Internet 2. Ziel: Netzwerksignaturen erstellen Frage: Gute Klassifizierung mit vollständiger Simulation möglich? 4

VERGLEICH: INTERNET SIMULATION (1) Kommunikation: Malware - Simulationsserver Kommunikation: Malware C&C Server Falsche Antwort keine weitere Kommunikation 5

VERGLEICH: INTERNET SIMULATION (2) Anbindung ans Internet: Vorteile: Weitreichende Kommunikation (z.b. mit C&C-Server oder P2P-Botnetz) Bessere Analyse des Kommunikationsprotokolls Nachteile: Nicht deterministisch: C&C-Server offline, P2P-Botnetz nicht erreichbar, unterschiedliche Kommandos, etc. Verhalten der Malware abhängig von externen Faktoren 6

VERGLEICH: INTERNET SIMULATION (3) Simulation: Vorteile: Deterministisch: Kommunikationspartner (fast) immer erreichbar + identische Antworten Verhalten der Malware deterministisch Nachteile: Oft nur erste Anfragen beobachtbar (Simulation schickt falsche Antworten) Keine tiefergehende Analyse des Kommunikationsprotokolls möglich 7

INETSIM (1) Simuliert häufig verwendete Protokolle: HTTP(S), DNS, IRC, POP3(S), SMTP(S), FTP(S), (21 Protokolle insg.) Gibt Standardantworten zurück Kann Dateien ausliefern (passend zur Dateiendung) Erwartet Protokolle auf Standard-Ports Verfügbar unter: http://www.inetsim.org/ 8

INETSIM (2) Screenshot: Aufruf eines HTML-Dokuments mit Inetsim 9

VERSUCHSAUFBAU Analysesystem: Hive mit 22 VMs VM: Windows XP SP3, 32 Bit Kommunikation nur mit Inetsim-Server möglich Malware wird 2 Minuten lang ausgeführt Netzwerkverkehr wird mit Tcpdump mitgeschnitten PCAP-Datei 10

KOMMUNIKATION: MALWARE - INETSIM Screenshot: Malware Viking kommuniziert mit Inetsim-Server 11

CLUSTERING Daten anhand ihrer Eigenschaften gruppieren Eigenschaften werden durch Features ausgedrückt Distanz mithilfe der Features berechnen Niedrige Distanz hohe Ähnlichkeit Quelle: en.wikipedia.org 12

DBSCAN Dichte-basierter Clustering-Algorithmus Vorteile: Cluster beliebiger Form und Größe Rauschpunkte werden separat behandelt Anzahl der Cluster muss nicht bekannt sein Nachteil: Kann nicht mit Clustern unterschiedlicher Dichte umgehen Ergebnis stark abhängig von der Distanzfunktion Quelle: en.wikipedia.org 13

FEATURES EXTRAHIEREN Alle Protokolle: #IPs, #Domains, #Pakete, Paketgröße Protokollspezifisch: Bsp. DNS: Query-Länge (Mittelwert + Standardabweichung) Query-Entropie ( ) #Queries #Queries / Domain TLDs Implizite DGA-Erkennung 14

DISTANZ BERECHNEN Vorgaben: Samples, die dieselben Protokolle verwenden, sollen niedrigere Distanz haben als Samples mit unterschiedlichen Protokollen Große Werte nicht implizit höher gewichten, Bsp.: #Pakete vs. #IRC-Server Umsetzung: Distanzen normalisieren, z.b. auf Bereich von 0 bis 1 Distanzen pro Protokoll berechnen Protokoll nur von 1 Sample verwendet Distanz(Protokoll) = 1 Distanz insgesamt: Mittelwert der Protokoll-Distanzen 15

EVALUATION Precision: # korrekt klassifizierte Samples # klassifizierte Samples Korrektheit der Klassifizierung Recall: # korrekt klassifizierte Samples Trefferquote # Samples, die klassifiziert werden sollten F-Measure: Harmonisches Mittel aus Precision und Recall 16

MALWARE-SET Malheur-Set: 3133 Samples 24 Familien Auswahl: Nur Samples, die Netzwerkverkehr erzeugen Familien mit 10 Samples Ergebnis: 2009 Samples 16 Familien 17

ERGEBNISSE Ergebnis: ~92% 18

ZUSAMMENFASSUNG Malware erfolgreich klassifiziert basierend auf Netzwerkverkehr Fazit: Klassifizierung mit vollständiger Simulation möglich Limitierung: Nur Klassifizierung von Malware möglich, die auch kommuniziert (offensichtlicherweise) Noch zu tun: Anpassen der Distanzfunktion an gemessenen Werten (aktuell: manuell gewählt) Evtl. bessere Unterstützung von selteneren Protokollen 19

Fragen? 20

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback