Detailansicht
Analysis of collaboration and agility in internet traffic for malware detection
Andreas Berger
Art der Arbeit
Dissertation
Universität
Universität Wien
Fakultät
Fakultät für Informatik
Betreuer*in
Wilfried Gansterer
DOI
10.25365/thesis.30514
URN
urn:nbn:at:at-ubw:1-29326.87483.127055-7
Link zu u:search
(Print-Exemplar eventuell in Bibliothek verfügbar)
Abstracts
Abstract
(Deutsch)
Internet-Kriminelle sind äußerst kreativ im Entwickeln neuer
Einkommensmöglichkeiten und können diese in kürzester Zeit einsetzen. Dies wird
durch ein lebendiges Ökosystem an kriminellen Diensten ermöglicht, auf das neue
Angriffe kurzfristig aufsetzen können. Die Wiederverwendung solcher
Diensteplattformen führt dazu, daß der dadurch verursachte Internet Verkehr oft
Zeichen von Kollaboration aufweist, z.B. wenn ein Ziel von mehreren
Rechnern gleichzeitig angegriffen wird, oder wenn ein bestimmter Server von
mehreren kriminellen Diensten verwendet wird. Ähnlich wie gutartige Dienste
sind diese Plattformen hochskalierbar ausgeführt, da hohe Verfügbarkeit für
möglichst viele Opfer von Internetkriminalität sich direkt in höheren Erträgen
ausdrückt. Jedoch sind Kriminelle mit dauernden Gegenmaßnahmen von
Regierungseinrichtungen und Unternehmen für Internetsicherheit konfrontiert. Um
dadurch verursachte Serverausfälle und Zugriffseinschränkungen zu kompensieren,
müssen diese kriminellen Plattformen ständig ``in Bewegung'' bleiben, und eine
gewisse Agilität aufweisen. So ändern kriminelle Dienste etwa
regelmäßig die Domain Namen unten denen sie erreichbar sind und wechseln die
verwendeten Server. Außerdem werden oftmals Peer-To-Peer
Kommunikationstechnologien eingesetzt die dafür sorgen daß einzelne Ausfälle
automatisch ausgeglichen werden. Diese Arbeit beschäftigt sich mit dem Problem
der Erkennung von Gruppen von Internet Diensten und Hosts die gemeinsam
an solchen ausweichenden Manövern teilnehmen.
Ich beschreibe im folgenden zwei komplementäre Ansätze die verschiedene Typen
von Agilität addressieren: (i)~Die Analyse von Verkehrsdaten des Domain Name
Systems (DNS) zielt auf die Namensauflösung von kriminellen Diensten ab. Es
wird ein Mechanismus zur effizienten Modellierung von Zusammenhängen zwischen
Domain Namen und IP Addressen entwickelt, der regelmäßige Aktualisierungen
explizit unterstützt. Neue DNS Informationen, die nicht dem Modell entsprechen,
werden als agile Variationen interpretiert und sind daher Kandidaten für
kriminelle Aktivitäten. Das vorgeschlagene System analysiert derartige
Aktivitäten weiterer Folge auf Zeichen von Kollaboration und ist in der Lage
kriminelle Diensteplattformen zuverlässig zu identifizieren. (ii)~Mittels
Profiling von Ende-zu-Ende Verbindungen im Internet werden typische
Aktivitätsmuster aller betrachteter Hosts extrahiert. Das System zur Erkennung
von krimineller Aktivität baut auf einer statischen, Daten-adaptiven
Beschreibung der Netzressourcen die von diesen Hosts kontaktiert werden auf,
und erkennt ungewöhnliche oder seltene Verbindungen, ohne dabei auf Information
von höheren Protokollschichten, wie z.B. das verwendete Applikationsprotokoll
oder die tatsächlichen Nutzdaten, zurückgreifen zu müssen. Beide Ansätze
stellen verdächtige Internetaktivität als Graphen dar und finden Sub-Strukturen
die auf kriminelle Aktivitäten zurückzuführen sind. Zusätzlich zu der Erkennung
der einzelnen kriminellen Dienste ermöglicht diese Darstellung ein Verständnis
für die Kommunikationsanforderungen eines bestimmten solchen Dienstes, und
unterstützt dadurch Experten bei kontrollierten Gegenmaßnahmen gegen
essentielle Elemente dieser Infrastruktur.
Die Erkennung solcher krimineller Kollaboration erfordert zwangsläufig die
Analyse der Verkehrsdaten einer ausreichend hohen Anzahl von Internet Hosts.
Der vorgeschlagene Ansatz ist daher für die Überwachung von großen Netzen, mit
bis zu mehreren hunderttausend Hosts, entwickelt. Die einzelnen Analyseschritte
weisen eine niedrige Komplexität auf und erfüllen dadurch
Echtzeitanforderungen. Der entwickelte Prototyp wurde mit Verkehrsdaten von
großen Netzen evaluiert. Die DNS Analyse hat dabei zur Erkennung einer Anzahl
verschiedener krimineller Aktivitäten geführt, wobei die False Positive Rate
unter 0.0001\% lag. Das System reagiert dabei empfindlicher als vergleichbare
Ansätze und benötigt gleichzeitig weniger Informationen. Die komplementäre
Analyse von Internet Verbindungen ist in der Lage die Komplexität der zu
analysierenden Verbindungsgraphen um bis zu vier Zehnerpotenzen zu reduzieren.
Dadurch konnte z.B. injizierte kriminelle Internet Kommunikation mit perfekter
Precision (1.0) and hohem Recall (0.9) detektiert werden. Schlussendlich wird
die gemeinsame Verwendung beider Analyseansätze diskutiert und die Erkennung
zusätzlicher krimineller Aktivität diskutiert.
Abstract
(Englisch)
Internet criminals have proven to be highly creative when it comes to inventing
novel ways to extort money from their victims, and can deploy them in short
time. This is largely related to the fact that most criminal Internet activity
builds upon a vivid ecosystem, which offers readily available service platforms
for running new malicious operations. Therefore, malicious Internet activity
often shows community structure, e.g., when multiple hosts are instructed to
attack the same target at the same time, or when one physical server is reused
by multiple malicious services. We refer to such structured activity as
collaboration patterns, which are indicative for malicious service
platforms. Similar to benign services, these platforms are designed to be
highly scalable, as more reliable operations for a multitude of victim hosts
translate directly into more revenue for the criminals. However, miscreants are
confronted with continuous countermeasures by governmental institutions and
network security enterprises. In order to compensate for server takedowns and
access blocking by network operators, their service infrastructure has to be
always ``on the move'', and needs to employ a certain level of agility
in its operations. For instance, malware services change the domain names under
which they are reachable, and use different physical servers over time.
Furthermore, malware uses Peer-to-Peer communication topologies which are
continuously dynamically reorganized and therefore compensate automatically for
hosts which are taken offline. This thesis addresses the problem of revealing
collaborating groups of services and hosts which jointly engage in such
evasive operations.
I describe two complementary approaches which consider different types of
agility: (i)~The analysis of Domain Name System (DNS) traffic addresses the
lookup of malicious services. We derive an efficient modeling apparatus
which describes the DNS mappings between domain names and IP addresses, and
update the derived model automatically over time. Any mappings which do not
match the model represent agile variations and are therefore candidates for
evasive actions. We reveal collaboration patterns in these variations, and
reliably expose domain names and IP addresses which relate to malicious
activity. (ii)~Large-scale profiling of end-to-end Internet connections
captures the typical Internet usage patterns of each individual monitored host.
The detection approach is based on a statistical, data-adaptive description of
the network resources which are contacted by these hosts, and reveals unusual,
rare connections, independently of any higher-layer information as, e.g., the
actual protocol or packet payload. Both approaches ultimately map suspicious,
agile Internet activity to graphs, which can then be efficiently mined for
substructures which relate to malicious service platforms. In addition to
revealing the individual malware sites themselves, the structural information
represented by these graphs allows a human analyst to understand which elements
of the malicious infrastructure are vital for its functioning, and should
therefore be blocked preferentially.
Being driven by the idea of revealing patterns of malicious collaboration, a
sufficiently large number of monitored hosts is required. Therefore, the
proposed analysis approach is designed to scale to large networks, with
possibly hundreds of thousands of hosts. It is lightweight in terms of
processing requirements, and the main analysis components typically run in
real-time. A prototype implementation was evaluated using multiple traffic
data sets from large networks. The DNS analysis component revealed several
previously unknown malicious sites, with a false positive rate of less than
0.0001\%. It is more sensitive than similar approaches and requires less data
at the same time. The complementary analysis of end-to-end connections is able
to reduce the complexity of Internet connection graphs by up to four orders of
magnitude, and proved to be an important enabler for graph-based malware
detection, which allowed us to detect, e.g., injected malware traffic with
perfect precision (1.0) and high recall (0.9). Finally, we demonstrate how one
can jointly use both analysis approaches to reveal additional malicious
activity.
Schlagwörter
Schlagwörter
(Englisch)
malware detection network monitoring traffic analysis DNS graphs
Schlagwörter
(Deutsch)
Schadsoftware Erkennung Netzwerküberwachung Verkehrsdatenanalyse DNS Graphen
Autor*innen
Andreas Berger
Haupttitel (Englisch)
Analysis of collaboration and agility in internet traffic for malware detection
Paralleltitel (Deutsch)
Analyse von Kollaboration und Agilität im Internetverkehr zur Erkennung von Schadsoftware
Paralleltitel (Englisch)
Analysis of Collaboration and Agility in Internet Traffic for Malware Detection
Publikationsjahr
2013
Umfangsangabe
IX, 146 S. : Ill., graph. Darst.
Sprache
Englisch
Beurteiler*innen
Giuseppe Bianchi ,
Peter Reichl
Klassifikationen
54 Informatik > 54.32 Rechnerkommunikation ,
54 Informatik > 54.38 Computersicherheit
AC Nummer
AC11322103
Utheses ID
27191
Studienkennzahl
UA | 786 | 880 | |