Cookies
Usamos cookies para melhorar nosso site e a sua experiência. Ao continuar a navegar no site, você aceita a nossa política de cookies. Ver mais
Aceitar Rejeitar
  • Menu
Apresentação

Webinar - InfoBlender

Flow-based Detection and Proxy-based Evasion of Encrypted Malware C2 Traffic

Resumo:

As técnicas de deep learning de última geração são conhecidas por serem vulneráveis a ataques de evasão, onde uma amostra adversária é gerada a partir de uma amostra maligna e erroneamente classificada como benigna. A deteção de tráfego de comando e controlo de malware cifrado com base em características de tráfego de fluxo TCP / IP pode ser enquadrada como uma tarefa de aprendizagem e, portanto, é vulnerável a ataques de evasão. No entanto, ao contrário de, por exemplo, o caso de processamento de imagens, onde as amostras adversas geradas podem ser mapeadas diretamente para imagens, ir das características de fluxo para pacotes TCP / IP reais requer a elaboração da sequência de pacotes, sem abordagem estabelecida para tal elaboração e uma limitação no conjunto de características modificáveis que tal elaboração permite. Neste artigo, discutimos as consequências para a aprendizagem e a evasão da lacuna que existe entre as amostras adversárias geradas e o tráfego elaborado. Exemplificamos com um detetor baseado numa rede neuronal profunda treinada com um conjunto de dados de tráfego C2 público, aprendizagem adversarial de caixa-branca, e uma abordagem baseada em proxy para criar fluxos mais longos. Os nossos resultados mostram que 1) a taxa de evasão alta obtida pelo uso de amostras adversas geradas no detector pode ser significativamente reduzida ao usar amostras adversárias elaboradas; 2) a robustez contra amostras adversárias por endurecimento do modelo varia de acordo com a abordagem de crafting e o conjunto correspondente de características modificáveis que o ataque permite; 3) o treino incremental de modelos reforçados com amostras adversárias pode produzir um campo de jogo nivelado onde nenhum detetor é melhor contra todos os ataques e nenhum ataque é melhor contra todos os detectores, num determinado conjunto de ataques e detectores. Pelo que sabemos, esta é a primeira vez que o conjunto de características e a iteração de endurecimento do modelo são analisados no âmbito da deteção de tráfego de comando e controlo de malware cifrado.

 

Biografia:

Ricardo Morla é professor auxiliar na Universidade do Porto.Os seus interesses de investigação centram-se na segurança de redes e IA, principalmente ataques sidechannel a trafego cifrado para proteção de privacidade e deteção de tráfego de comando e controlo de malware. Tenta perceber a natureza adversarial e os desafios de IA em Big Data destes ataques. Ensina e desenvolve investigação no Departamento de Engenharia Electrotécnica e de Computadores da FEUP e no INESC TEC. É doutorado em Computação pela Universidade de Lancaster. Foi lecturer e post-doc na Universidade da Califórnia em Irvine em 2007, e professor convidado na Universidade de Carnegie Mellon em 2010 no âmbito do programa CMU-Portugal. Dinamiza o laboratório de Redes e Serviços da FEUP.

 

Notas:
Inscreva-se aqui até o dia 25 de novembro para aceder ao link da sessão de Zoom.
O webinar será gravado.

Detalhes

Detalhes

  • Iniciar

    26 novembro 2020
  • Promotores

    HASLab, INESC TEC and University of Minho
  • País

    Portugal
  • Fim

    26 novembro 2020
  • Local

    Online