Mit Machine Learning-Techniken bösartige Netzwerk-Flows clustern

Originalartikel von Joy Nathalie Avelino, Jessica Patricia Balaquit und Carmi Anne Loren Mora

Berichte über nicht autorisierte Netzwerkzugriffe, die die Unternehmenssicherheit, -daten und -ressourcen kompromittieren, beschäftigen täglich die Experten. Gefragt sind effizientere Erkennungssysteme und -methoden. Derzeit nutzen Angreifer neben anderen Techniken Polymorphismus, Verschlüsselung und Verschleierung, um traditionelle Intrusion Detection-Methoden wie regelbasierte Techniken besser zu umgehen. Als Antwort auf die steigende Zahl der Netzwerkbedrohungen und um den sich weiter entwickelnden Intrusion-Methoden einen Schritt voraus zu sein, erforschte Trend Micro das Network Flow Clustering — eine Methode, die mithilfe der Stärken des Machine Learnings die derzeitigen Techniken der Intrusion Detection verbessern soll.

Netzwerkanomalien lassen sich durch die Untersuchung von Flow-Daten erkennen, denn sie enthalten Informationen, die für die Analyse der Verkehrszusammensetzung verschiedener Anwendungen und Dienste im Netzwerk nützlich sind. Um große Mengen dieser Daten durch Clustering effizient zu kennzeichnen und zu verarbeiten, nutzten die Forscher einen halb überwachten Lernansatz. Diese Labels werden dann dazu verwendet, um Beziehungen zwischen verschiedenen Malware-Familien zu erkennen und um zu verstehen, wie sie sich voneinander unterscheiden.

Clustern von Netzwerk-Flows aus Gh0st RAT-Varianten

Ein halb überwachtes Modell, mit dessen Hilfe die Forscher ähnliche Arten von bösartigen Netzwerk-Flows clusterten, brachte gute Ergebnisse. Eines der Beispiele, das mit dieser Methode untersucht wurde, ist Gh0st RAT (Remote Access Trojan) – eine Familie von Hintertüren, die häufig für gezielte Angriffe verwendet werden. In früheren Berichten über GhOst RAT stellten die Forscher bereits fest, dass Malware über mit Social Engineering erstellten Spam-Mails geliefert wurde.

Gh0st RAT verzweigte sich im Laufe der Jahre in eine ganze Reihe von Varianten, seitdem sein Quellcode öffentlich zugänglich ist. In den letzten Jahren nutzten seine Hintermänner erneut alte Malware, um Payload für Backdoor-Fähigkeiten zu übermitteln, sowie Kryptowährungs-Mining und gezielte Angriffe zu starten. Gh0st RAT Flow-Daten wurden aus Trend Micro Smart Protection Network (SPN)-Daten extrahiert und repliziert. Über die Effizienz von maschinellem Lernen beim Clustering von Netzwerk-Flows sowie über Einsichten in verschiedene Netzwerkmuster im bösartigen Verkehr konnten die Forscher ankommenden Verkehr mit künftigen Malware-Varianten in Verbindung bringen.

Bild 1. Varianten von Gh0st RAT

Die Analyse der Gh0st RAT Samples untermauert die erwähnten Resultate. Das Bild zeigt die Ströme, die über mehrere Versionen hinweg aufgrund der Ähnlichkeiten der Payloads in Cluster gepackt wurden.

Clustern von Netzwerk-Flows führt zu verbesserter Sicherheit

Tatsächlich kann das Clustern von bösartigen Netzwerk-Flows Einsichten in verschiedene Netzwerkmuster im bösartigen Verkehr liefern. Diese Methode unterstützt schließlich Cybersicherheitstechniken dabei, eine große Vielfalt an Malware, die für Intrusion-Angriffe eingesetzt werden kann, zu erkennen. Der Einsatz von maschinellem Lernen in dieser Forschung hat auch gezeigt, wie die Technologie große Datenmengen schnell organisieren kann und Analysten bei ihren Schlussfolgerungen unterstützt.

Weitere Einzelheiten liefert das Whitepaper „Ahead of the Curve: A Deeper Understanding of Network Threats Through Machine Learning”.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.