Využití reputace autonomních systémů pro detekci malwaru

Abstract

Autonomní systém (AS) je skupina směrovačů a IP prefixů se společnou směrovací politikou a pod společnou správou. Každý IP rozsah patří do jednoho autonomního systému. Při komunikaci na internetu lze sledovat, do kterých AS datové toky vstupují. Přiřadí-li se každému systému reputace, tedy skóre určující, s jakou pravděpodobností se u jednoho toku dat jedná o malware (anomaly skóre), lze u webových proxy logů rozpoznat, zda se jedná o malware pouze na základě informace, do jakých AS přistupují. V této práci vytvoříme sadu anomaly detektorů využívajících dostupné údaje o AS, pomocí ROC křivek je ohodnotíme a vhodnou kombinací zlepšíme výsledky detekce. Výhoda tohoto přístupu by se měla projevit zejména u zabezpečené komunikace přes HTTPS, kde jsou údaje o AS jediná dostupná informace.

Autonomous system (AS) is a group of routers and IP prefixes under the control of single routing policy and administrative. Each IP address belongs to a specific autonomous system. It is possible to acquire the name of visited AS only by observing network traic. By assigning a reputation to every system, such that the score represents a probability of a flow being malicious (anomaly score), one can recognize a malware connection from proxy logs given only the information of AS visited. In this thesis, we focus on creating a set of anomaly detectors using available data about autonomous systems, evaluating their performance employing ROC curves and by appropriate combination improving detection results. The advantage of this approach lies in domain of secured communication, such as HHTPS, where data about AS is the only information accessible.