Сочинение на тему Сетевой трафик обеспечивает раннюю индикацию вредоносного заражения

Сетевой трафик обеспечивает раннее обнаружение вредоносного ПО

Анализируя сетевой трафик, направляемый на подозрительные домены, администраторы безопасности могут выявлять заражения вредоносным ПО за несколько недель или даже месяцев до того, как им удастся захватить образец вредоносного ПО, говорится в новом исследовании. Полученные данные указывают на необходимость новых стратегий обнаружения вредоносных программ, которые позволят сетевым защитникам более своевременно выявлять нарушения безопасности сети. Стратегия будет использовать тот факт, что злоумышленникам необходимо взаимодействовать с их командованием и контролем. компьютеры, создавая сетевой трафик, который можно обнаружить и проанализировать. По словам исследователей, наличие более раннего предупреждения о развитии вредоносного ПО может ускорить ответ и потенциально снизить воздействие атак. «Наше исследование показывает, что к тому времени, когда вы обнаруживаете вредоносное ПО, уже слишком поздно, потому что сетевые коммуникации и доменные имена используются Вредоносные программы были активными за несколько недель или даже месяцев до того, как фактическое вредоносное ПО было обнаружено », – сказал Хайперлинк. в школе HYPERLINK «http://www.ece.gatech.edu/» по электротехнике и вычислительной технике в Технологическом институте Джорджии. «Эти результаты показывают, что нам необходимо коренным образом изменить наш подход к защите сети». Традиционные средства защиты зависят от обнаружения вредоносных программ в сети.

Анализ образцов вредоносного ПО может выявить подозрительные домены и помочь приписать сетевые атаки их источникам, но использование образцов для управления защитными действиями дает злоумышленникам критическое преимущество во времени для сбора информации и нанесения ущерба. «Нам нужно минимизировать время между компрометацией и событием обнаружения», – добавил Антонакакис. Исследование, которое будет представлено 24 мая на 38-м Симпозиуме по безопасности и конфиденциальности IEEE в Сан-Хосе, Калифорния, было поддержано Министерство торговли США, Национальный научный фонд, Исследовательская лаборатория ВВС и Агентство перспективных исследований в области обороны.

Проект был реализован в сотрудничестве с EURECOM во Франции и IMDEA Software Institute в Испании, чья работа была поддержана региональным правительством Мадрида и правительством Испании. В исследовании, Antonakakis, аспирант исследователь Чаз Левер и его коллеги проанализировал более пяти миллиардов сетевых событий за почти пять лет сетевого трафика, проведенного одним из крупнейших интернет-провайдеров США (ISP). Они также изучили запросы серверов доменных имен (DNS), сделанные почти 27 миллионами образцов вредоносных программ, и изучили сроки перерегистрации доменов с истекшим сроком действия, которые часто предоставляют места запуска для атак вредоносных программ. «Были определенные сети, которые были более подвержены риску. злоупотреблять, поэтому поиск трафика в этих горячих точках потенциально мог быть хорошим показателем злоупотреблений, происходящих в настоящее время », – сказал Левер, первый автор статьи и студент Школы электротехники и вычислительной техники штата Джорджия. «Если вы видите много DNS-запросов, указывающих на горячие точки злоупотребления, это должно вызывать опасения по поводу потенциальных инфекций». Исследователи также обнаружили, что запросы на динамический DNS также связаны с плохой активностью, поскольку они часто коррелируют с услугами, используемыми плохими участниками. потому что они предоставляют бесплатную регистрацию доменов и возможность быстрого добавления доменов.

Исследователи надеялись, что регистрация доменных имен с истекшим сроком действия может послужить предупреждением о предстоящих атаках. Но Левер обнаружил, что между перерегистрацией доменов с истекшим сроком действия и начавшимися атаками часто задерживается месяц. Исследование потребовало разработки системы фильтрации для отделения доброкачественного сетевого трафика от вредоносного трафика в данных интернет-провайдера. Исследователи также провели, по их мнению, крупнейшее на сегодняшний день усилие по классификации вредоносных программ, чтобы отличить вредоносное программное обеспечение от потенциально нежелательных программ (PUP). Чтобы изучить сходства, они распределили вредоносное ПО по определенным «семействам». Изучив сетевой трафик, связанный с вредоносным ПО, который видели интернет-провайдеры до обнаружения вредоносного ПО, исследователи смогли определить, что сигналы вредоносного ПО присутствовали за недели и даже месяцы до появления нового вредоносного ПО. программное обеспечение найдено. Относительно этого к здоровью человека, Антонакакис сравнивает сигналы сети с лихорадкой или общим чувством недомогания, которое часто предшествует выявлению микроорганизма, ответственного за инфекцию. «Вы знаете, что вы больны, когда у вас есть лихорадка, прежде чем вы точно знаете, что ее вызывает. ,” он сказал. «Первое, что делает противник, это устанавливает присутствие в Интернете, и этот первый сигнал может указывать на заражение. Мы должны сначала попытаться наблюдать этот симптом в сети, потому что если мы ждем, чтобы увидеть образец вредоносного ПО, мы почти наверняка допустим развитие серьезной инфекции ». В целом, исследователи обнаружили более 300 000 доменов вредоносных программ, которые были активны, по крайней мере, за две недели до того, как соответствующие образцы вредоносного ПО были идентифицированы и проанализированы. Но, как и в случае со здоровьем человека, обнаружение изменений, указывающих на заражение, требует знания базовой активности, сказал он.

Сетевые администраторы должны иметь информацию о нормальном сетевом трафике, чтобы они могли обнаруживать аномалии, которые могут сигнализировать о развивающейся атаке. Несмотря на то, что многие аспекты атаки могут быть скрыты, вредоносные программы всегда должны сообщать тем, кто их отправил: «Если у вас есть возможность обнаруживать трафик в сети, независимо от того, каким образом вредоносное ПО могло проникнуть, действие связи через сеть будет наблюдаемой », – сказал Антонакайс. «Сетевые администраторы должны минимизировать неизвестных в своих сетях и максимально классифицировать их соответствующие коммуникации, чтобы они могли видеть плохую активность, когда это происходит». Антонакакис и Левер надеются, что их исследование приведет к разработке новых стратегий защиты компьютерных сетей ». Дроссельной точкой является сетевой трафик, и именно здесь следует вести эту битву », – сказал Антонакакис.

«Это исследование дает фундаментальное наблюдение за тем, как должны быть разработаны механизмы защиты следующего поколения. По мере появления более сложных атак нам придется становиться умнее при их обнаружении ранее ». В дополнение к уже упомянутым, в исследование были включены Давиде Бальзаротти из EURECOM, а также Платон Котзиас и Хуан Кабальеро из IMDEA Software Institute.

Этот материал основан на работе, частично поддерживаемой грантом Министерства торговли США 2106DEK, грантом Национального научного фонда (NSF) 2106DGX и грантом 2106DTX Агентства перспективных исследований Военно-воздушных сил / Агентства перспективных исследований в области обороны. Это исследование также было частично поддержано региональным правительством Мадрида в рамках проекта N-GREENS Software-CM S2013 / ICE-2731 и правительством Испании в рамках гранта DEDETIS TIN2015-7013-R.

Любые мнения, выводы, выводы или рекомендации, выраженные в этом материале, принадлежат авторам и не обязательно отражают точку зрения Министерства торговли, Национального научного фонда, Исследовательской лаборатории ВВС или Агентства перспективных исследовательских проектов в области обороны. ЦИТАТА: Чез Левер и др., «Список вредоносных сетевых коммуникаций: эволюция и понимание» (38-й симпозиум IEEE по безопасности и конфиденциальности, 2017). Новости исследований Технологический институт Джорджии, 177 North Avenue Atlanta, Georgia 30332-0181 Отношения USAMedia Контакты: Джон Тун