Malflow: um framework para geração automatizada de assinaturas de malwares baseado em fluxo de dados de rede
| Autor(a) principal: | |
|---|---|
| Data de Publicação: | 2017 |
| Tipo de documento: | Dissertação |
| Idioma: | por |
| Título da fonte: | Repositório Institucional da UNESP |
| Texto Completo: | http://hdl.handle.net/11449/148745 |
Resumo: | A garantia de segurança em ambientes computacionais é complexa, uma vez que a expertise dos atacantes e o número de ameaças têm aumentado. De forma a lidar com o aumento de incidentes de segurança, é necessária uma metodologia que automatize o processo de análise de ameaças e forneça assinaturas de ataques para os ambientes de defesa. Este projeto propõe uma metodologia para criação automatizada de assinaturas para malware baseado em fluxo de dados de redes. A partir de múltiplas execuções de uma amostra de malware, são encontradas semelhanças entre o tráfego de rede gerado em cada uma de suas execuções. O processo de encontrar semelhanças baseia-se em: (i) geração de um hash para cada uma das conexões realizadas pelo malware, no qual cada hash irá representar um elemento de uma sequência e (ii) utilização do algoritmo LCS para encontrar uma subsequência em comum mais longa entre duas sequências geradas a partir das conexões realizadas pelo malware durante cada uma de suas execuções. Uma vez encontrada a subsequência em comum mais longa, os descritores das conexões realizadas pelo malware são recuperados, os quais irão compor os passos de uma assinatura. Por fim, as assinaturas geradas serão testadas para identificação de falsos-positivos e verdadeiros-positivos, para que sejam selecionadas com o intuito de alimentar um Sistema de Detecção de Intrusão. |
| id |
UNSP_58b2e6ae9246e541675fd042c75d208d |
|---|---|
| oai_identifier_str |
oai:repositorio.unesp.br:11449/148745 |
| network_acronym_str |
UNSP |
| network_name_str |
Repositório Institucional da UNESP |
| repository_id_str |
2946 |
| spelling |
Malflow: um framework para geração automatizada de assinaturas de malwares baseado em fluxo de dados de redeMalflow: a framework for automated generation of signatures for malwares based on network flowsMalwareAnálise dinâmicaMecanismo de geração de assinaturaGeração automatizada de assinaturaSistemas de detecção de intrusão baseados em redeDynamic analysisSignature generation mechanismAutomated signature generationNetwork intrusion detection systemsA garantia de segurança em ambientes computacionais é complexa, uma vez que a expertise dos atacantes e o número de ameaças têm aumentado. De forma a lidar com o aumento de incidentes de segurança, é necessária uma metodologia que automatize o processo de análise de ameaças e forneça assinaturas de ataques para os ambientes de defesa. Este projeto propõe uma metodologia para criação automatizada de assinaturas para malware baseado em fluxo de dados de redes. A partir de múltiplas execuções de uma amostra de malware, são encontradas semelhanças entre o tráfego de rede gerado em cada uma de suas execuções. O processo de encontrar semelhanças baseia-se em: (i) geração de um hash para cada uma das conexões realizadas pelo malware, no qual cada hash irá representar um elemento de uma sequência e (ii) utilização do algoritmo LCS para encontrar uma subsequência em comum mais longa entre duas sequências geradas a partir das conexões realizadas pelo malware durante cada uma de suas execuções. Uma vez encontrada a subsequência em comum mais longa, os descritores das conexões realizadas pelo malware são recuperados, os quais irão compor os passos de uma assinatura. Por fim, as assinaturas geradas serão testadas para identificação de falsos-positivos e verdadeiros-positivos, para que sejam selecionadas com o intuito de alimentar um Sistema de Detecção de Intrusão.The guarantee of security in computing environments is complex, since the expertise of the attackers and the numbers of threats have increased. In order to handle the increased security incidents, is required a methodology to automate the process of threat analysis and provide signatures to defense environments. This project proposes a methodology to generate signatures automatically, based on network flows. From multiple execution of a malware sample, similarities are found between the network traffic generated in each of its executions. The process of finding similarity is based on: (i) Generation of a hash for each connection performed by the malware, where each hash will represent an element of a sequence and (ii) application of the LCS algorithm to find the longest common subsequence between two sequences generated from the connections performed by the malware during each of its executions. Once the longest common subsequence is found, the descriptors of the connections performed by the malware are retrieved, which will compose the steps of a signature. Finally, the generated signatures will be tested for false positive and true positive identification, so that they are selected with the intention of feeding an Intrusion Detection System.Coordenação de Aperfeiçoamento de Pessoal de Nível Superior (CAPES)Universidade Estadual Paulista (Unesp)Cansian, Adriano Mauro [UNESP]Universidade Estadual Paulista (Unesp)Silva, Raphael Campos [UNESP]2017-02-09T18:26:48Z2017-02-09T18:26:48Z2017-01-23info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/11449/14874500087988933004153073P2942417568820654500959219433459740000-0003-4494-1454porinfo:eu-repo/semantics/openAccessreponame:Repositório Institucional da UNESPinstname:Universidade Estadual Paulista (UNESP)instacron:UNESP2024-01-03T06:21:35Zoai:repositorio.unesp.br:11449/148745Repositório InstitucionalPUBhttp://repositorio.unesp.br/oai/requestopendoar:29462024-08-05T22:00:11.117844Repositório Institucional da UNESP - Universidade Estadual Paulista (UNESP)false |
| dc.title.none.fl_str_mv |
Malflow: um framework para geração automatizada de assinaturas de malwares baseado em fluxo de dados de rede Malflow: a framework for automated generation of signatures for malwares based on network flows |
| title |
Malflow: um framework para geração automatizada de assinaturas de malwares baseado em fluxo de dados de rede |
| spellingShingle |
Malflow: um framework para geração automatizada de assinaturas de malwares baseado em fluxo de dados de rede Silva, Raphael Campos [UNESP] Malware Análise dinâmica Mecanismo de geração de assinatura Geração automatizada de assinatura Sistemas de detecção de intrusão baseados em rede Dynamic analysis Signature generation mechanism Automated signature generation Network intrusion detection systems |
| title_short |
Malflow: um framework para geração automatizada de assinaturas de malwares baseado em fluxo de dados de rede |
| title_full |
Malflow: um framework para geração automatizada de assinaturas de malwares baseado em fluxo de dados de rede |
| title_fullStr |
Malflow: um framework para geração automatizada de assinaturas de malwares baseado em fluxo de dados de rede |
| title_full_unstemmed |
Malflow: um framework para geração automatizada de assinaturas de malwares baseado em fluxo de dados de rede |
| title_sort |
Malflow: um framework para geração automatizada de assinaturas de malwares baseado em fluxo de dados de rede |
| author |
Silva, Raphael Campos [UNESP] |
| author_facet |
Silva, Raphael Campos [UNESP] |
| author_role |
author |
| dc.contributor.none.fl_str_mv |
Cansian, Adriano Mauro [UNESP] Universidade Estadual Paulista (Unesp) |
| dc.contributor.author.fl_str_mv |
Silva, Raphael Campos [UNESP] |
| dc.subject.por.fl_str_mv |
Malware Análise dinâmica Mecanismo de geração de assinatura Geração automatizada de assinatura Sistemas de detecção de intrusão baseados em rede Dynamic analysis Signature generation mechanism Automated signature generation Network intrusion detection systems |
| topic |
Malware Análise dinâmica Mecanismo de geração de assinatura Geração automatizada de assinatura Sistemas de detecção de intrusão baseados em rede Dynamic analysis Signature generation mechanism Automated signature generation Network intrusion detection systems |
| description |
A garantia de segurança em ambientes computacionais é complexa, uma vez que a expertise dos atacantes e o número de ameaças têm aumentado. De forma a lidar com o aumento de incidentes de segurança, é necessária uma metodologia que automatize o processo de análise de ameaças e forneça assinaturas de ataques para os ambientes de defesa. Este projeto propõe uma metodologia para criação automatizada de assinaturas para malware baseado em fluxo de dados de redes. A partir de múltiplas execuções de uma amostra de malware, são encontradas semelhanças entre o tráfego de rede gerado em cada uma de suas execuções. O processo de encontrar semelhanças baseia-se em: (i) geração de um hash para cada uma das conexões realizadas pelo malware, no qual cada hash irá representar um elemento de uma sequência e (ii) utilização do algoritmo LCS para encontrar uma subsequência em comum mais longa entre duas sequências geradas a partir das conexões realizadas pelo malware durante cada uma de suas execuções. Uma vez encontrada a subsequência em comum mais longa, os descritores das conexões realizadas pelo malware são recuperados, os quais irão compor os passos de uma assinatura. Por fim, as assinaturas geradas serão testadas para identificação de falsos-positivos e verdadeiros-positivos, para que sejam selecionadas com o intuito de alimentar um Sistema de Detecção de Intrusão. |
| publishDate |
2017 |
| dc.date.none.fl_str_mv |
2017-02-09T18:26:48Z 2017-02-09T18:26:48Z 2017-01-23 |
| dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
| dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
| format |
masterThesis |
| status_str |
publishedVersion |
| dc.identifier.uri.fl_str_mv |
http://hdl.handle.net/11449/148745 000879889 33004153073P2 9424175688206545 0095921943345974 0000-0003-4494-1454 |
| url |
http://hdl.handle.net/11449/148745 |
| identifier_str_mv |
000879889 33004153073P2 9424175688206545 0095921943345974 0000-0003-4494-1454 |
| dc.language.iso.fl_str_mv |
por |
| language |
por |
| dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
| eu_rights_str_mv |
openAccess |
| dc.format.none.fl_str_mv |
application/pdf |
| dc.publisher.none.fl_str_mv |
Universidade Estadual Paulista (Unesp) |
| publisher.none.fl_str_mv |
Universidade Estadual Paulista (Unesp) |
| dc.source.none.fl_str_mv |
reponame:Repositório Institucional da UNESP instname:Universidade Estadual Paulista (UNESP) instacron:UNESP |
| instname_str |
Universidade Estadual Paulista (UNESP) |
| instacron_str |
UNESP |
| institution |
UNESP |
| reponame_str |
Repositório Institucional da UNESP |
| collection |
Repositório Institucional da UNESP |
| repository.name.fl_str_mv |
Repositório Institucional da UNESP - Universidade Estadual Paulista (UNESP) |
| repository.mail.fl_str_mv |
|
| _version_ |
1808129383152484352 |