Orientador: Adriano Mauro Cansian / Banca: André Ricardo Abed Grégio / Banca: Geraldo Francisco Donega Zafalon / Resumo: A garantia de segurança em ambientes computacionais é complexa, uma vez que a expertise dos atacantes e o número de ameaças têm aumentado. De forma a lidar com o aumento de incidentes de segurança, é necessária uma metodologia que automatize o processo de análise de ameaças e forneça assinaturas de ataques para os ambientes de defesa. Este projeto propõe uma metodologia para criação automatizada de assinaturas para malware baseado em fluxo de dados de redes. A partir de múltiplas execuções de uma amostra de malware, são encontradas semelhanças entre o tráfego de rede gerado em cada uma de suas execuções. O processo de encontrar semelhanças baseia-se em: (i) geração de um hash para cada uma das conexões realizadas pelo malware, no qual cada hash irá representar um elemento de uma sequência e (ii) utilização do algoritmo LCS para encontrar uma subsequência em comum mais longa entre duas sequências geradas a partir das conexões realizadas pelo malware durante cada uma de suas execuções. Uma vez encontrada a subsequência em comum mais longa, os descritores das conexões realizadas pelo malware são recuperados, os quais irão compor os passos de uma assinatura. Por fim, as assinaturas geradas serão testadas para identificação de falsos-positivos e verdadeiros-positivos, para que sejam selecionadas com o intuito de alimentar um Sistema de Detecção de Intrusão / Abstract: The guarantee of security in computing environments is complex, since the expertise of the attackers and the numbers of threats have increased. In order to handle the increased security incidents, is required a methodology to automate the process of threat analysis and provide signatures to defense environments. This project proposes a methodology to generate signatures automatically, based on network flows. From multiple execution of a malware sample, similarities are found between the network traffic generated in each of its executions. The process of finding similarity is based on: (i) Generation of a hash for each connection performed by the malware, where each hash will represent an element of a sequence and (ii) application of the LCS algorithm to find the longest common subsequence between two sequences generated from the connections performed by the malware during each of its executions. Once the longest common subsequence is found, the descriptors of the connections performed by the malware are retrieved, which will compose the steps of a signature. Finally, the generated signatures will be tested for false positive and true positive identification, so that they are selected with the intention of feeding an Intrusion Detection System / Mestre
| Identifer | oai:union.ndltd.org:UNESP/oai:www.athena.biblioteca.unesp.br:UEP01-000879889 |
| Date | January 2017 |
| Creators | Silva, Raphael Campos. |
| Contributors | Universidade Estadual Paulista "Júlio de Mesquita Filho" Instituto de Biociências, Letras e Ciências Exatas. |
| Publisher | São José do Rio Preto, |
| Source Sets | Universidade Estadual Paulista |
| Language | Portuguese, Portuguese, Texto em português; resumos em português e inglês |
| Detected Language | Portuguese |
| Type | text |
| Format | 103 f. : |
| Relation | Sistema requerido: Adobe Acrobat Reader |
Page generated in 0.0028 seconds