Cookies
O website necessita de alguns cookies e outros recursos semelhantes para funcionar. Caso o permita, o INESC TEC irá utilizar cookies para recolher dados sobre as suas visitas, contribuindo, assim, para estatísticas agregadas que permitem melhorar o nosso serviço. Ver mais
Aceitar Rejeitar
  • Menu
    Apresentação

    Webinar - InfoBlender

    Flow-based Detection and Proxy-based Evasion of Encrypted Malware C2 Traffic

    Resumo:

    As técnicas de deep learning de última geração são conhecidas por serem vulneráveis a ataques de evasão, onde uma amostra adversária é gerada a partir de uma amostra maligna e erroneamente classificada como benigna. A deteção de tráfego de comando e controlo de malware cifrado com base em características de tráfego de fluxo TCP / IP pode ser enquadrada como uma tarefa de aprendizagem e, portanto, é vulnerável a ataques de evasão. No entanto, ao contrário de, por exemplo, o caso de processamento de imagens, onde as amostras adversas geradas podem ser mapeadas diretamente para imagens, ir das características de fluxo para pacotes TCP / IP reais requer a elaboração da sequência de pacotes, sem abordagem estabelecida para tal elaboração e uma limitação no conjunto de características modificáveis que tal elaboração permite. Neste artigo, discutimos as consequências para a aprendizagem e a evasão da lacuna que existe entre as amostras adversárias geradas e o tráfego elaborado. Exemplificamos com um detetor baseado numa rede neuronal profunda treinada com um conjunto de dados de tráfego C2 público, aprendizagem adversarial de caixa-branca, e uma abordagem baseada em proxy para criar fluxos mais longos. Os nossos resultados mostram que 1) a taxa de evasão alta obtida pelo uso de amostras adversas geradas no detector pode ser significativamente reduzida ao usar amostras adversárias elaboradas; 2) a robustez contra amostras adversárias por endurecimento do modelo varia de acordo com a abordagem de crafting e o conjunto correspondente de características modificáveis que o ataque permite; 3) o treino incremental de modelos reforçados com amostras adversárias pode produzir um campo de jogo nivelado onde nenhum detetor é melhor contra todos os ataques e nenhum ataque é melhor contra todos os detectores, num determinado conjunto de ataques e detectores. Pelo que sabemos, esta é a primeira vez que o conjunto de características e a iteração de endurecimento do modelo são analisados no âmbito da deteção de tráfego de comando e controlo de malware cifrado.

     

    Biografia:

    Ricardo Morla é professor auxiliar na Universidade do Porto.Os seus interesses de investigação centram-se na segurança de redes e IA, principalmente ataques sidechannel a trafego cifrado para proteção de privacidade e deteção de tráfego de comando e controlo de malware. Tenta perceber a natureza adversarial e os desafios de IA em Big Data destes ataques. Ensina e desenvolve investigação no Departamento de Engenharia Electrotécnica e de Computadores da FEUP e no INESC TEC. É doutorado em Computação pela Universidade de Lancaster. Foi lecturer e post-doc na Universidade da Califórnia em Irvine em 2007, e professor convidado na Universidade de Carnegie Mellon em 2010 no âmbito do programa CMU-Portugal. Dinamiza o laboratório de Redes e Serviços da FEUP.

     

    Notas:
    Inscreva-se aqui até o dia 25 de novembro para aceder ao link da sessão de Zoom.
    O webinar será gravado.

    Detalhes

    Detalhes

    • Iniciar

      26 novembro 2020

    • Promotores

      HASLab, INESC TEC and University of Minho

    • País

      Portugal

    • Fim

      26 novembro 2020

    • Local

      Online