Nieuws
image

UvA studenten bereiken doorbraak in malware detectie

donderdag 9 juli 2009, 15:51 door Redactie, 13 reacties

Twee Nederlandse studenten van de Universiteit van Amsterdam hebben een doorbraak bereikt in de detectie van drive-by downloads. De door Thijs Kinkhorst en Michael van Kleij ontwikkelde methode voor het detecteren van dit soort aanvallen, blijkt na verificatie geen false positives en een zeer hoog detectiepercentage op te leveren. Het was de twee onderzoekers met name te doen om het detecteren van drive-by downloads. Net als spamfilter Spamassassin wordt er aan de hand van verschillende punten, zoals TCP poortnummers en user agents, een score berekend. Van de 15 aanvallen werden er 14 (93%) herkend. Bij de false positives test was de score nog beter. Bij 20 legitieme pogingen werd geen één keer vals alarm geslagen.

Volgens Van Kleij en Kinkhorst is het dan ook mogelijk om drive-by downloads van legitieme sessies te onderscheiden en herkennen, door alleen naar de veranderingen van het HTTP-verkeer en metadata te kijken. "We hebben een verschillend aantal eigenschappen geïdentificeerd om drive-by infecties te identificeren, waarvan er veel een hoge voorspellingswaarde hebben." Toch is er nog genoeg werk voor de studenten te doen. Zo moet het scoringsmodel verder worden aangepast, zodat het ook in een "real life" scenario standhoudt.

Reacties (13)
09-07-2009, 16:26 door [Account Verwijderd]
[Verwijderd]
09-07-2009, 16:31 door Anoniem
Denk dat ook hier weer 'n gevalletje overdrijving in zit.

'slimme' mensen overdrijven hun prestaties graag.

ik zie die prestaties al snel weer dalen..
09-07-2009, 16:43 door Anoniem
Zoals ik het lees blijft het een wc-eend onderzoek.
09-07-2009, 16:49 door Anoniem
Dit is een erg multivariaat* probleem en de parameters zijn zo te fitten dat zij voor de 15 aanvallen bijna altijd een uitzonderlijk hoge score kunnen halen. Het aantal aanvallen is te laag en legitieme pogingen zijn eenvoudig anders van opbouw waardoor het ook niet herkend wordt als een attack. (*afhankelijk van veel parameters).
09-07-2009, 17:01 door Anoniem
ik zie het al de eerste responders hebben er weer lekker veel verstand van (not!)
Wat deze studenten gedaan hebben is proberen drive-by downloads te analyseren 'alleen' op basis van de metadata. dus bijvoorbeeld de headers van http verkeer.
NIET door deep packet inspection en te kijken wat er precies gedownload wordt en dat dan vervolgens te analyseren.
my 2cents: vernieuwend en op de goede weg!!
09-07-2009, 19:13 door Anoniem
Door Anoniem: Denk dat ook hier weer 'n gevalletje overdrijving in zit.


'slimme' mensen overdrijven hun prestaties graag.

ik zie die prestaties al snel weer dalen..

en domme mensen moeten hun prestaties NOG meer overdrijven om aandacht te krijgen dus slimme mensen zijn betrouwbaarder...
09-07-2009, 19:40 door Anoniem
Door Anoniem: ik zie het al de eerste responders hebben er weer lekker veel verstand van (not!)
Wat deze studenten gedaan hebben is proberen drive-by downloads te analyseren 'alleen' op basis van de metadata. dus bijvoorbeeld de headers van http verkeer.
NIET door deep packet inspection en te kijken wat er precies gedownload wordt en dat dan vervolgens te analyseren.
my 2cents: vernieuwend en op de goede weg!!

Jazeker, maar het grote probleem met dit soort research (en producten) is dat als de detectiestrategie bekend is, aanvallers hem makkelijk kunnen omzeilen door gewoon te zorgen dat de metadata meer lijkt op legitiem verkeer. Dat is eenvoudig te bereiken. Dus dit product zal een tijdje werken en daarna niet meer. Soort van antibiotica dus.

Desalniettemin een stap die gezet moest worden in het leerproces dus chapeau, het valt niet mee iets echts origineels te verzinnen op dit gebied en deze jongens hebben dat prima gedaan!
09-07-2009, 21:41 door Skizmo
eens kijken hoe lang het duurt voordat de 'bad guys' doorhebben hoe ze gedecteerd worden en dat ze hun strategie aanpassen.
09-07-2009, 22:00 door [Account Verwijderd]
[Verwijderd]
09-07-2009, 22:35 door Anoniem
Origineel is dit zeker niet, verre van. Het effect van het in de openbaarheid brengen van detectiemethoden is inderdaad dat de malware schrijvers er rekening mee zullen houden en dus het effect snel weg is. De conclusie moet dus zijn: houd je mond over detectiemethoden die te omzeilen zijn. Wetenschap en ego moet je daarvoor maar even opzij zetten.
10-07-2009, 00:34 door Kukel
Door Spirit:
Door Skizmo: eens kijken hoe lang het duurt voordat de 'bad guys' doorhebben hoe ze gedecteerd worden en dat ze hun strategie aanpassen.
Ja, maar dat is te verwachten.

Precies en dat wil dus niet zeggen dat dit soort detectiemechanismes *niet* toegepast moeten worden
10-07-2009, 10:16 door Preddie
Door Anoniem: Denk dat ook hier weer 'n gevalletje overdrijving in zit.

'slimme' mensen overdrijven hun prestaties graag.

ik zie die prestaties al snel weer dalen..


ow jah, enuh wat heb jij ondekt ...... ? niks ?

eeuh... wat heb je ontwikkeld dan ? ....... ook niks ?

hou dan lekker je mond ;)

Ontopic, goed staaltje werk van die jongens. Door dit soort dingen word Nederland weer op de kaart gezet in security-land ;) absoluut goed werk !
10-07-2009, 13:09 door spatieman
alle slimme ondekingen worden onderstuend door nederwiet.
want wie van die gastjes hebben nooit een uitstekend idee gehad toen ze stoned waren.

+1 iig..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure