IoT malware minták klaszterezése bináris hasonlóság alapján
A dolgok internete (Internet of Things, IoT) a beágyazott rendszereket összekötő, gyorsan fejlődő technológia, ami az elkövetkező években hozzávetőlegesen több milliárd eszközt fog felölelni.
Erre válaszul a támadók új rosszindulatú programcsaládokat fejlesztettek ki, amelyek kifejezetten IoT eszközöket támadnak, mint például a Mirai botnet, az Amnesia rootkit, és más egyéb családok.
Az új rosszindulatú programminták hatékony elemzése érdekében fontos, hogy a víruskereső cégek képesek legyenek pontosan besorolni őket ismert családokba.
A TrendMicro által a közelmúltban javasolt, TLSH néven ismert hasonlósági lenyomat-készítő eljárásról megmutatták, hogy felülmúlja a többi megközelítést ugyanazon rosszindulatú programcsalád variánsainak detektálásában.
A dolgozatban azt vizsgáljuk, hogy hogyan lehet a TLSH hasonlósági értékeket felhasználni rosszindulatú programminták csoportosítására, illetve hogy a meglévő klaszterezési algoritmusok képesek-e helyesen osztályozni a hasonló mintákat.
A kutatás során 12993 mintát gyűjtöttünk a VirusTotalról, melyek mindegyike 29 IoT specifikus rosszindulatú programcsaládból való.
Az adathalmazt két, széleskörben elterjedt algoritmussal klasztereztük: a Partitioning Around Medoids (PAM) csoportba tartozó k-Medoid algoritmussal, illetve a sűrűség-alapú OPTICS algoritmussal.
Megállapítottuk, hogy a tesztelt klaszterezési algoritmusok feltételezései nem állnak fenn rosszindulatú programcsaládok variánsainak azonosításakor, és a kiszámított klaszterek nem tükrözik pontosan az adathalmazunk szerkezetét.
A kutatásunk konklúziója, hogy a meglévő klaszterezési algoritmusok nem felelnek meg a gyakorlatban valószínűleg fellelhető rosszindulatú programokból álló mintahalmazok klaszterezésére.
szerzők
-
Bak Márton László
Mérnök informatikus szak, alapképzés
alapképzés (BA/BSc) -
Tamás Csongor
Mérnök informatikus szak, mesterképzés
mesterképzés (MA/MSc)
konzulensek
-
Dr. Buttyán Levente
egyetemi tanár, Hálózati Rendszerek és Szolgáltatások Tanszék -
Futóné Papp Dorottya
tudományos segédmunkatárs, Hálózati Rendszerek és Szolgáltatások Tanszék