doutoramento PD:CC

15 de julho às 14h30


Programa Doutoral | Ciência de Computadores 

Provas | Detection of Encrypted Malware Command and Control Traffic

Estudante | Carlos António de Sousa Costa Novo


Data: 15 de julho
Hora: 14h30
Local: Sala FC6 0.29


Presidente:

Manuel Eduardo Carvalho Duarte Correia
Professor Associado
Departamento de Ciência de Computadores, Faculdade de Ciências da Universidade do Porto


Arguentes:

Daniele Cono D'Elia
Tenure-track Assistant Professor
Department of Computer, Control and Management Engineering, Sapienza University of Rome (Itália)

Fernando Manuel Valente Ramos
Professor Associado
Departamento de Engenharia Informática, Instituto Superior Técnico, Universidade de Lisboa


Vogais:

Rolando da Silva Martins
Professor Auxiliar
Departamento de Ciência de Computadores, Faculdade de Ciências da Universidade do Porto

Bernardo Luís Fernandes Portela (Orientador)
Professor Auxiliar
Departamento de Ciência de Computadores, Faculdade de Ciências da Universidade do Porto


Resumo:

A sociedade está cada vez mais dependente de serviços digitais para a gestão e armazenamento de informação, tornando-os alvos apelativos para ciberataques. Desta forma, ataques de malware evoluíram para utilizar infraestruturas complexas, capazes de orquestrar e rentabilizar operações em larga escala, e dependendo de canais de Comando e Controlo (C2) para esse efeito. Sistemas de deteção baseados em tráfego de rede tornaram-se um meio conveniente de identificar máquinas comprometidas e mitigar ataques, quer através de abordagens baseadas em assinaturas, quer recorrendo à classificação baseada em Machine Learning (ML). Porém, o malware também faz uso do protocolo Transport Layer Security (TLS) para o seu tráfego C2. Este protocolo, concebido para proteger comunicações contra a interceção por terceiros, limita a visibilidade dos defensores e diminui a eficácia de abordagens baseadas em metadados para classificação ou para a rotulagem de dados.

Este trabalho explora a deteção de tráfego C2 cifrado perante a evolução de protocolos, propondo técnicas inovadoras de extração de atributos com base em informação externamente observável, nomeadamente os tamanhos, direções e tipos dos registos TLS. Ao explorar padrões no início dos fluxos TLS, que permanecem visíveis em dados cifrados, são obtidos resultados que sugerem a aplicabilidade mesmo face às versões mais modernas do protocolo, nomeadamente em TLS 1.3. 

Para além das dificuldades inerentes a rotular dados, o tráfego de rede é também de partilha difícil devido à sua sensibilidade e a restrições legais. Para dar resposta a estas limitações, exploramos a viabilidade de aplicar os nossos mecanismos de deteção num cenário de Federated Learning (FL). Resultados experimentais validam a possibilidade de treinar modelos neste ambiente de colaboração mútua, sem partilha de dados. Em simultâneo, demonstram o impacto de ataques adversários levados a cabo por um participante malicioso que intencionalmente procure degradar o desempenho do modelo. O nosso trabalho ilustra como estratégias de agregação robusta podem ser usadas para mitigar ataques de envenenamento neste ambiente.

Este trabalho contribui para a deteção baseada em ML de tráfego C2 cifrado, para os métodos de extração de atributos, e para a necessidade de considerar a evolução de protocolos, ameaças adaptativas e desafios inerentes à colaboração. São apresentados novos conjuntos de dados, classificadores e técnicas de extração de atributos, bem como um ambiente de testes e resultados base para o estudo de ameaças em ambiente federado.


Informações no Sigarra da FCUP