Regisztráció és bejelentkezés

IoT malware minták klaszterezése bináris hasonlóság alapján

A dolgok internete (Internet of Things, IoT) a beágyazott rendszereket összekötő, gyorsan fejlődő technológia, ami az elkövetkező években hozzávetőlegesen több milliárd eszközt fog felölelni.

Erre válaszul a támadók új rosszindulatú programcsaládokat fejlesztettek ki, amelyek kifejezetten IoT eszközöket támadnak, mint például a Mirai botnet, az Amnesia rootkit, és más egyéb családok.

Az új rosszindulatú programminták hatékony elemzése érdekében fontos, hogy a víruskereső cégek képesek legyenek pontosan besorolni őket ismert családokba.

A TrendMicro által a közelmúltban javasolt, TLSH néven ismert hasonlósági lenyomat-készítő eljárásról megmutatták, hogy felülmúlja a többi megközelítést ugyanazon rosszindulatú programcsalád variánsainak detektálásában.

A dolgozatban azt vizsgáljuk, hogy hogyan lehet a TLSH hasonlósági értékeket felhasználni rosszindulatú programminták csoportosítására, illetve hogy a meglévő klaszterezési algoritmusok képesek-e helyesen osztályozni a hasonló mintákat.

A kutatás során 12993 mintát gyűjtöttünk a VirusTotalról, melyek mindegyike 29 IoT specifikus rosszindulatú programcsaládból való.

Az adathalmazt két, széleskörben elterjedt algoritmussal klasztereztük: a Partitioning Around Medoids (PAM) csoportba tartozó k-Medoid algoritmussal, illetve a sűrűség-alapú OPTICS algoritmussal.

Megállapítottuk, hogy a tesztelt klaszterezési algoritmusok feltételezései nem állnak fenn rosszindulatú programcsaládok variánsainak azonosításakor, és a kiszámított klaszterek nem tükrözik pontosan az adathalmazunk szerkezetét.

A kutatásunk konklúziója, hogy a meglévő klaszterezési algoritmusok nem felelnek meg a gyakorlatban valószínűleg fellelhető rosszindulatú programokból álló mintahalmazok klaszterezésére.

szerzők

  • Bak Márton László
    Mérnök informatikus szak, alapképzés
    alapképzés (BA/BSc)
  • Tamás Csongor
    Mérnök informatikus szak, mesterképzés
    mesterképzés (MA/MSc)

konzulensek

  • Dr. Buttyán Levente
    docens, Hálózati Rendszerek és Szolgáltatások Tanszék
  • Futóné Papp Dorottya
    doktorandusz, Hálózati Rendszerek és Szolgáltatások Tanszék

helyezés

Jutalom