Detailansicht

Analysis of collaboration and agility in internet traffic for malware detection
Andreas Berger
Art der Arbeit
Dissertation
Universität
Universität Wien
Fakultät
Fakultät für Informatik
Betreuer*in
Wilfried Gansterer
Volltext herunterladen
Volltext in Browser öffnen
Alle Rechte vorbehalten / All rights reserved
DOI
10.25365/thesis.30514
URN
urn:nbn:at:at-ubw:1-29326.87483.127055-7
Link zu u:search
(Print-Exemplar eventuell in Bibliothek verfügbar)

Abstracts

Abstract
(Deutsch)
Internet-Kriminelle sind äußerst kreativ im Entwickeln neuer Einkommensmöglichkeiten und können diese in kürzester Zeit einsetzen. Dies wird durch ein lebendiges Ökosystem an kriminellen Diensten ermöglicht, auf das neue Angriffe kurzfristig aufsetzen können. Die Wiederverwendung solcher Diensteplattformen führt dazu, daß der dadurch verursachte Internet Verkehr oft Zeichen von Kollaboration aufweist, z.B. wenn ein Ziel von mehreren Rechnern gleichzeitig angegriffen wird, oder wenn ein bestimmter Server von mehreren kriminellen Diensten verwendet wird. Ähnlich wie gutartige Dienste sind diese Plattformen hochskalierbar ausgeführt, da hohe Verfügbarkeit für möglichst viele Opfer von Internetkriminalität sich direkt in höheren Erträgen ausdrückt. Jedoch sind Kriminelle mit dauernden Gegenmaßnahmen von Regierungseinrichtungen und Unternehmen für Internetsicherheit konfrontiert. Um dadurch verursachte Serverausfälle und Zugriffseinschränkungen zu kompensieren, müssen diese kriminellen Plattformen ständig ``in Bewegung'' bleiben, und eine gewisse Agilität aufweisen. So ändern kriminelle Dienste etwa regelmäßig die Domain Namen unten denen sie erreichbar sind und wechseln die verwendeten Server. Außerdem werden oftmals Peer-To-Peer Kommunikationstechnologien eingesetzt die dafür sorgen daß einzelne Ausfälle automatisch ausgeglichen werden. Diese Arbeit beschäftigt sich mit dem Problem der Erkennung von Gruppen von Internet Diensten und Hosts die gemeinsam an solchen ausweichenden Manövern teilnehmen. Ich beschreibe im folgenden zwei komplementäre Ansätze die verschiedene Typen von Agilität addressieren: (i)~Die Analyse von Verkehrsdaten des Domain Name Systems (DNS) zielt auf die Namensauflösung von kriminellen Diensten ab. Es wird ein Mechanismus zur effizienten Modellierung von Zusammenhängen zwischen Domain Namen und IP Addressen entwickelt, der regelmäßige Aktualisierungen explizit unterstützt. Neue DNS Informationen, die nicht dem Modell entsprechen, werden als agile Variationen interpretiert und sind daher Kandidaten für kriminelle Aktivitäten. Das vorgeschlagene System analysiert derartige Aktivitäten weiterer Folge auf Zeichen von Kollaboration und ist in der Lage kriminelle Diensteplattformen zuverlässig zu identifizieren. (ii)~Mittels Profiling von Ende-zu-Ende Verbindungen im Internet werden typische Aktivitätsmuster aller betrachteter Hosts extrahiert. Das System zur Erkennung von krimineller Aktivität baut auf einer statischen, Daten-adaptiven Beschreibung der Netzressourcen die von diesen Hosts kontaktiert werden auf, und erkennt ungewöhnliche oder seltene Verbindungen, ohne dabei auf Information von höheren Protokollschichten, wie z.B. das verwendete Applikationsprotokoll oder die tatsächlichen Nutzdaten, zurückgreifen zu müssen. Beide Ansätze stellen verdächtige Internetaktivität als Graphen dar und finden Sub-Strukturen die auf kriminelle Aktivitäten zurückzuführen sind. Zusätzlich zu der Erkennung der einzelnen kriminellen Dienste ermöglicht diese Darstellung ein Verständnis für die Kommunikationsanforderungen eines bestimmten solchen Dienstes, und unterstützt dadurch Experten bei kontrollierten Gegenmaßnahmen gegen essentielle Elemente dieser Infrastruktur. Die Erkennung solcher krimineller Kollaboration erfordert zwangsläufig die Analyse der Verkehrsdaten einer ausreichend hohen Anzahl von Internet Hosts. Der vorgeschlagene Ansatz ist daher für die Überwachung von großen Netzen, mit bis zu mehreren hunderttausend Hosts, entwickelt. Die einzelnen Analyseschritte weisen eine niedrige Komplexität auf und erfüllen dadurch Echtzeitanforderungen. Der entwickelte Prototyp wurde mit Verkehrsdaten von großen Netzen evaluiert. Die DNS Analyse hat dabei zur Erkennung einer Anzahl verschiedener krimineller Aktivitäten geführt, wobei die False Positive Rate unter 0.0001\% lag. Das System reagiert dabei empfindlicher als vergleichbare Ansätze und benötigt gleichzeitig weniger Informationen. Die komplementäre Analyse von Internet Verbindungen ist in der Lage die Komplexität der zu analysierenden Verbindungsgraphen um bis zu vier Zehnerpotenzen zu reduzieren. Dadurch konnte z.B. injizierte kriminelle Internet Kommunikation mit perfekter Precision (1.0) and hohem Recall (0.9) detektiert werden. Schlussendlich wird die gemeinsame Verwendung beider Analyseansätze diskutiert und die Erkennung zusätzlicher krimineller Aktivität diskutiert.
Abstract
(Englisch)
Internet criminals have proven to be highly creative when it comes to inventing novel ways to extort money from their victims, and can deploy them in short time. This is largely related to the fact that most criminal Internet activity builds upon a vivid ecosystem, which offers readily available service platforms for running new malicious operations. Therefore, malicious Internet activity often shows community structure, e.g., when multiple hosts are instructed to attack the same target at the same time, or when one physical server is reused by multiple malicious services. We refer to such structured activity as collaboration patterns, which are indicative for malicious service platforms. Similar to benign services, these platforms are designed to be highly scalable, as more reliable operations for a multitude of victim hosts translate directly into more revenue for the criminals. However, miscreants are confronted with continuous countermeasures by governmental institutions and network security enterprises. In order to compensate for server takedowns and access blocking by network operators, their service infrastructure has to be always ``on the move'', and needs to employ a certain level of agility in its operations. For instance, malware services change the domain names under which they are reachable, and use different physical servers over time. Furthermore, malware uses Peer-to-Peer communication topologies which are continuously dynamically reorganized and therefore compensate automatically for hosts which are taken offline. This thesis addresses the problem of revealing collaborating groups of services and hosts which jointly engage in such evasive operations. I describe two complementary approaches which consider different types of agility: (i)~The analysis of Domain Name System (DNS) traffic addresses the lookup of malicious services. We derive an efficient modeling apparatus which describes the DNS mappings between domain names and IP addresses, and update the derived model automatically over time. Any mappings which do not match the model represent agile variations and are therefore candidates for evasive actions. We reveal collaboration patterns in these variations, and reliably expose domain names and IP addresses which relate to malicious activity. (ii)~Large-scale profiling of end-to-end Internet connections captures the typical Internet usage patterns of each individual monitored host. The detection approach is based on a statistical, data-adaptive description of the network resources which are contacted by these hosts, and reveals unusual, rare connections, independently of any higher-layer information as, e.g., the actual protocol or packet payload. Both approaches ultimately map suspicious, agile Internet activity to graphs, which can then be efficiently mined for substructures which relate to malicious service platforms. In addition to revealing the individual malware sites themselves, the structural information represented by these graphs allows a human analyst to understand which elements of the malicious infrastructure are vital for its functioning, and should therefore be blocked preferentially. Being driven by the idea of revealing patterns of malicious collaboration, a sufficiently large number of monitored hosts is required. Therefore, the proposed analysis approach is designed to scale to large networks, with possibly hundreds of thousands of hosts. It is lightweight in terms of processing requirements, and the main analysis components typically run in real-time. A prototype implementation was evaluated using multiple traffic data sets from large networks. The DNS analysis component revealed several previously unknown malicious sites, with a false positive rate of less than 0.0001\%. It is more sensitive than similar approaches and requires less data at the same time. The complementary analysis of end-to-end connections is able to reduce the complexity of Internet connection graphs by up to four orders of magnitude, and proved to be an important enabler for graph-based malware detection, which allowed us to detect, e.g., injected malware traffic with perfect precision (1.0) and high recall (0.9). Finally, we demonstrate how one can jointly use both analysis approaches to reveal additional malicious activity.

Schlagwörter

Schlagwörter
(Englisch)
malware detection network monitoring traffic analysis DNS graphs
Schlagwörter
(Deutsch)
Schadsoftware Erkennung Netzwerküberwachung Verkehrsdatenanalyse DNS Graphen
Autor*innen
Andreas Berger
Haupttitel (Englisch)
Analysis of collaboration and agility in internet traffic for malware detection
Paralleltitel (Deutsch)
Analyse von Kollaboration und Agilität im Internetverkehr zur Erkennung von Schadsoftware
Paralleltitel (Englisch)
Analysis of Collaboration and Agility in Internet Traffic for Malware Detection
Publikationsjahr
2013
Umfangsangabe
IX, 146 S. : Ill., graph. Darst.
Sprache
Englisch
Beurteiler*innen
Giuseppe Bianchi ,
Peter Reichl
Klassifikationen
54 Informatik > 54.32 Rechnerkommunikation ,
54 Informatik > 54.38 Computersicherheit
AC Nummer
AC11322103
Utheses ID
27191
Studienkennzahl
UA | 786 | 880 | |
Universität Wien, Universitätsbibliothek, 1010 Wien, Universitätsring 1