Webinar - InfoBlender
Flow-based Detection and Proxy-based Evasion of Encrypted Malware C2 Traffic
Resumo:
As técnicas de deep learning de última geração são conhecidas por serem vulneráveis a ataques de evasão, onde uma amostra adversária é gerada a partir de uma amostra maligna e erroneamente classificada como benigna. A deteção de tráfego de comando e controlo de malware cifrado com base em características de tráfego de fluxo TCP / IP pode ser enquadrada como uma tarefa de aprendizagem e, portanto, é vulnerável a ataques de evasão. No entanto, ao contrário de, por exemplo, o caso de processamento de imagens, onde as amostras adversas geradas podem ser mapeadas diretamente para imagens, ir das características de fluxo para pacotes TCP / IP reais requer a elaboração da sequência de pacotes, sem abordagem estabelecida para tal elaboração e uma limitação no conjunto de características modificáveis que tal elaboração permite. Neste artigo, discutimos as consequências para a aprendizagem e a evasão da lacuna que existe entre as amostras adversárias geradas e o tráfego elaborado. Exemplificamos com um detetor baseado numa rede neuronal profunda treinada com um conjunto de dados de tráfego C2 público, aprendizagem adversarial de caixa-branca, e uma abordagem baseada em proxy para criar fluxos mais longos. Os nossos resultados mostram que 1) a taxa de evasão alta obtida pelo uso de amostras adversas geradas no detector pode ser significativamente reduzida ao usar amostras adversárias elaboradas; 2) a robustez contra amostras adversárias por endurecimento do modelo varia de acordo com a abordagem de crafting e o conjunto correspondente de características modificáveis que o ataque permite; 3) o treino incremental de modelos reforçados com amostras adversárias pode produzir um campo de jogo nivelado onde nenhum detetor é melhor contra todos os ataques e nenhum ataque é melhor contra todos os detectores, num determinado conjunto de ataques e detectores. Pelo que sabemos, esta é a primeira vez que o conjunto de características e a iteração de endurecimento do modelo são analisados no âmbito da deteção de tráfego de comando e controlo de malware cifrado.
Biografia:
Ricardo Morla é professor auxiliar na Universidade do Porto.Os seus interesses de investigação centram-se na segurança de redes e IA, principalmente ataques sidechannel a trafego cifrado para proteção de privacidade e deteção de tráfego de comando e controlo de malware. Tenta perceber a natureza adversarial e os desafios de IA em Big Data destes ataques. Ensina e desenvolve investigação no Departamento de Engenharia Electrotécnica e de Computadores da FEUP e no INESC TEC. É doutorado em Computação pela Universidade de Lancaster. Foi lecturer e post-doc na Universidade da Califórnia em Irvine em 2007, e professor convidado na Universidade de Carnegie Mellon em 2010 no âmbito do programa CMU-Portugal. Dinamiza o laboratório de Redes e Serviços da FEUP.
Notas:
Inscreva-se aqui até o dia 25 de novembro para aceder ao link da sessão de Zoom.
O webinar será gravado.