automatically detecting vulnerable sites before they turn
play

Automatically Detecting Vulnerable Sites Before They Turn Malicious - PowerPoint PPT Presentation

Mar 11, 2023 •200 likes •491 views

Automatically Detecting Vulnerable Sites Before They Turn Malicious Kyle Soska Nicolas Chris>n Carnegie Mellon University Carnegie Mellon University ECE / Cylab ECE / Cylab

  1. Automatically Detecting Vulnerable Sites Before They Turn Malicious Kyle ¡Soska ¡ Nicolas ¡Chris>n ¡ Carnegie ¡Mellon ¡University ¡ Carnegie ¡Mellon ¡University ¡ ECE ¡/ ¡Cylab ¡ ECE ¡/ ¡Cylab ¡ ksoska@cmu.edu ¡ nicolasc@cmu.edu ¡ Sponsors: ¡NSF ¡(CCF-­‑0424422, ¡CNS-­‑1223762) ¡and ¡DHS ¡S&T/CSD ¡(N66001-­‑13-­‑C-­‑0131) ¡ 1 ¡

  2. Problem Setting § Adversaries ¡compromise ¡websites ¡ • Economically ¡Ra>onal ¡– ¡mone>ze ¡compromises ¡ § Neutral ¡to ¡vic>ms ¡ § Maximize ¡volume, ¡efficiency, ¡profits ¡ • Hack>vist ¡– ¡promote ¡social, ¡poli>cal, ¡or ¡religious ¡ agenda ¡ § Targeted ¡aYacks ¡ § Low ¡volume ¡ 2 ¡

  3. Economically Rational Adversary § Decisions ¡always ¡maximize ¡profit ¡ § Probabilis>c ¡Polynomial ¡Time ¡ • Cannot ¡break ¡standard ¡crypto, ¡session ¡cookies, ¡ hashes, ¡etc. ¡ § Does ¡not ¡control ¡significant ¡por>on ¡of ¡web ¡ • Cannot ¡perform ¡adversarial ¡machine ¡learning ¡aYacks ¡ by ¡poisoning ¡a ¡random ¡sample ¡of ¡the ¡web ¡ § Able ¡to ¡exploit ¡vulnerable ¡web ¡so]ware ¡ 3 ¡

  4. Mode of Operation Step ¡1: ¡Find ¡bug ¡or ¡vulnerability ¡in ¡popular ¡web ¡ so]ware ¡or ¡content ¡management ¡system ¡(CMS) ¡ ¡ Step ¡2: ¡Enumerate ¡sites ¡containing ¡vulnerability ¡ Step ¡3: ¡Exploit ¡vulnerable ¡sites ¡ ¡ Step ¡4: ¡Mone>ze ¡and ¡profit ¡ 4 ¡

  5. 5 ¡

  6. Problem and Goal § Exis>ng ¡approaches ¡detect ¡if ¡a ¡ webpage ¡is ¡ already ¡malicious ¡ § Is ¡it ¡possible ¡to ¡predict ¡if ¡a ¡non-­‑malicious ¡ website ¡ will ¡become ¡malicious ¡in ¡the ¡ future ? ¡ • What ¡would ¡such ¡a ¡system ¡look ¡like? ¡ • What ¡requirements ¡are ¡imposed ¡on ¡such ¡a ¡system? ¡ • What ¡are ¡the ¡fundamental ¡limita>ons? ¡ 6 ¡

  7. System Design Malicious ¡ Alexa.com ¡ Archive.org ¡ Blacklists ¡ Sites ¡ Template ¡ Feature ¡ Filter ¡ Extrac>on ¡ Safe ¡Sites ¡ Zone ¡ Files ¡ Stream ¡ Classifier ¡ 7 ¡

  8. System Properties § Efficiency ¡ • Internet ¡dataset ¡ § Interpretability ¡ • Need ¡to ¡build ¡intui>on ¡about ¡why ¡the ¡site ¡will ¡become ¡ compromised ¡ § Robustness ¡to ¡Imbalanced ¡Data ¡ • Far ¡more ¡benign ¡examples ¡than ¡malicious ¡ones ¡ § Robustness ¡To ¡Mislabeled ¡Data ¡ • Blacklists ¡may ¡contain ¡errors ¡or ¡be ¡incomplete ¡ § Adap>ve ¡ • Internet ¡is ¡a ¡concept ¡dri]ing, ¡requires ¡ac>ve ¡adapta>on ¡ 8 ¡

  9. Dataset Malicious ¡ Alexa.com ¡ Archive.org ¡ Blacklists ¡ Sites ¡ Template ¡ Feature ¡ Filter ¡ Extrac>on ¡ Safe ¡Sites ¡ Zone ¡ Files ¡ Stream ¡ Classifier ¡ 9 ¡

  10. Dataset Type ¡ Instances ¡ Archived ¡ % ¡Archived ¡ Instances ¡ PhishTank ¡ 91,555 ¡ 34,922 ¡ 38.1 ¡ Search ¡ 16,173 ¡ 14,425 ¡ 89.2 ¡ Redirec>on * ¡ .com ¡Zone ¡Files ¡ 336,671 ¡ 336,671 ¡ N/A ¡ § PhishTank: ¡Feb ¡2013 ¡– ¡Dec ¡2013 ¡ § Search ¡Redirec>on: ¡Oct ¡2011 ¡– ¡Sept ¡2013 ¡ § Zone ¡Files: ¡Feb ¡2010 ¡– ¡Sept ¡2013 ¡ * ¡Leon>adis ¡et ¡al., ¡2014 ¡ 10 ¡

  11. Filtering Malicious ¡ Alexa.com ¡ Archive.org ¡ Blacklists ¡ Sites ¡ Template ¡ Feature ¡ Filter ¡ Extrac>on ¡ Safe ¡Sites ¡ Zone ¡ Files ¡ Stream ¡ Classifier ¡ 11 ¡

  12. Filtering Naviga>on ¡ User ¡Content ¡ Social ¡Media ¡ Links ¡ 12 ¡

  13. Filtering – Based on [Yi et al., 2003] § Compute ¡entropy-­‑like ¡heuris>c ¡“Composite ¡ Importance” ¡(CmpImp ¡ ∈[0, ¡1] ) ¡for ¡each ¡element ¡on ¡a ¡ page ¡ § Remove ¡elements ¡above ¡a ¡fixed ¡threshold ¡ 13 ¡

  14. Original Page 14 ¡

  15. Threshold = 0.99 15 ¡

  16. Threshold = 0.1 16 ¡

  17. Feature Extraction Malicious ¡ Alexa.com ¡ Archive.org ¡ Blacklists ¡ Sites ¡ Template ¡ Feature ¡ Filter ¡ Extrac>on ¡ Safe ¡Sites ¡ Zone ¡ Files ¡ Stream ¡ Classifier ¡ 17 ¡

  18. Feature Set § Traffic ¡Features ¡ • Site ¡Rank ¡ • Links ¡into ¡site ¡ • Load ¡Percen>le ¡ • …more ¡ § Content ¡Features ¡ • HTML ¡Tags ¡(type, ¡content, ¡aYributes) ¡ 18 ¡

  19. Dynamic Features § Millions ¡of ¡unique ¡HTML ¡tags ¡(including ¡content) ¡ § Solu>on: ¡order ¡tags ¡by ¡some ¡sta>s>c, ¡select ¡top ¡N ¡ • ACC2 ¡based ¡on ¡[Foreman, ¡2003] ¡ • Let ¡ ℬ, ¡ℳ denote ¡the ¡set ¡of ¡benign ¡and ¡malicious ¡sites ¡ respec>vely, ¡ 𝑥 ¡the ¡set ¡of ¡tags ¡from ¡a ¡site, ¡then ¡ACC2 ¡for ¡ a ¡tag ¡x ¡can ¡be ¡defined ¡as: ¡ 𝑡(𝑦) = |​|𝑦 ∈ 𝑥 : 𝑥 ∈ℳ |/| ℳ | − ​|𝑦 ∈ 𝑥 : 𝑥 ∈ℬ |/| ℬ | | ¡ ¡ ¡ ¡ 19 ¡

  20. Prominent Features After 90,000 Samples Feature ¡ Sta>s>c ¡Value ¡ meta{‘content’: ¡‘Wordpress ¡3.2.1’, ¡‘name’: ¡ 0.0569 ¡ ‘generator’} ¡ ul{‘class’: ¡[‘xoxo’, ¡‘blogroll’]} ¡ 0.0446 ¡ You ¡can ¡start ¡edi>ng ¡here. ¡ 0.0421 ¡ meta{‘content’: ¡‘Wordpress ¡3.3.1’, ¡‘name’: ¡ 0.0268 ¡ ‘generator’} ¡ /all ¡in ¡one ¡seo ¡pack ¡ 0.0252 ¡ span{‘class’: ¡[‘breadcrumbs’, ¡‘pathway’]} ¡ 0.0226 ¡ If ¡Comments ¡are ¡open, ¡but ¡there ¡are ¡no ¡ 0.0222 ¡ comments. ¡ div{‘id’: ¡‘content_disclaimer’} ¡ 0.0039 ¡ 20 ¡

  21. Varying Window Sizes Low ¡Transient ¡ High ¡Variance ¡ High ¡Transient ¡ Low ¡Variance ¡ Feature: ¡meta{‘content’: ¡‘Wordpress ¡3.2.1’, ¡‘name’: ¡‘generator’} ¡ 21 ¡ ¡

  22. CMS Evolution AYack ¡Campaign ¡ AYack ¡Campaign ¡ AYack ¡Campaign ¡ Low ¡Ac>vity ¡ 22 ¡

  23. Parking Page Feature Similar ¡value ¡over ¡1 ¡year ¡later! ¡ Feature: ¡ div{‘id’: ¡‘content_disclaimer’} ¡ 23 ¡ ¡

  24. Classification Malicious ¡ Alexa.com ¡ Archive.org ¡ Blacklists ¡ Sites ¡ Template ¡ Feature ¡ Filter ¡ Extrac>on ¡ Safe ¡Sites ¡ Zone ¡ Files ¡ Stream ¡ Classifier ¡ 24 ¡

  25. Classification § Largely ¡based ¡on ¡[Gao ¡et ¡al., ¡2007] ¡ § Break ¡input ¡data ¡stream ¡into ¡blocks ¡ § Resample ¡input ¡blocks ¡ § Train ¡ensemble ¡C4.5 ¡decision ¡tree ¡classifiers ¡ using ¡Hoeffding ¡bounds ¡[Domingos ¡et ¡al., ¡2000] ¡ § Retrain ¡periodically ¡using ¡new ¡dynamic ¡features ¡ 25 ¡

  26. Classification Results Good ¡Opera>ng ¡Point ¡ 26 ¡

  27. Limitations § Only ¡makes ¡sense ¡when ¡page ¡content ¡and ¡traffic ¡ sta>s>cs ¡are ¡risk ¡factors ¡of ¡malice ¡ • Sites ¡hacked ¡via ¡weak ¡passwords ¡or ¡via ¡social ¡ engineering ¡aYacks ¡violate ¡this ¡ • Sites ¡that ¡are ¡maliciously ¡hosted ¡may ¡violate ¡this ¡ § Requires ¡some ¡sites ¡to ¡become ¡compromised ¡in ¡ order ¡to ¡make ¡predic>ons ¡ 27 ¡

  28. Conclusions § Predic>ng ¡websites ¡that ¡become ¡malicious ¡in ¡the ¡ future ¡is ¡possible! ¡ § Acceptable ¡performance ¡can ¡be ¡achieved ¡even ¡ on ¡our ¡modest ¡dataset ¡ Kyle ¡Soska ¡– ¡ksoska@cmu.edu ¡ 28 ¡

Recommend

Is an ARC You are muted automatically. Fellowship We are recording. Turn off video, please.

Is an ARC You are muted automatically. Fellowship We are recording. Turn off video, please.

Identifier first line Second line Webinar etiquette Is an ARC You are muted automatically. Fellowship We are recording. Turn off video, please. for you? Use Q&A to ask questions. Fill out the Notice of Intent go.unimelb.edu.au/r9ta

313 views • 8 slides
Detecting annotation noise in automatically labelled data Ines Rehbein Josef Ruppenhofer IDS

Detecting annotation noise in automatically labelled data Ines Rehbein Josef Ruppenhofer IDS

Detecting annotation noise in automatically labelled data Ines Rehbein Josef Ruppenhofer IDS Mannheim/University of Heidelberg, Germany Leibniz Science Campus Empirical Linguistics and Computational Language Modeling

492 views • 11 slides
Automatically Detecting Likely Edits in Clinical Notes Created Using Automatic Speech Recognition

Automatically Detecting Likely Edits in Clinical Notes Created Using Automatic Speech Recognition

Automatically Detecting Likely Edits in Clinical Notes Created Using Automatic Speech Recognition Kevin Lybarger, M.S., Mari Ostendorf, Ph.D., Meliha Yetisgen, Ph.D. University of Washington, Seattle, WA, US Abstract The use of automatic speech

222 views • 10 slides
Inspection systems for automatically detecting defects in the surface of train axles Nigel

Inspection systems for automatically detecting defects in the surface of train axles Nigel

TECNITEST NDT Inspection systems for automatically detecting defects in the surface of train axles Nigel Thorpe www.tecnitestNDT.com TRAIN INSPECTION: Automatic UT Inspection System for Solid axles, with Phased Array UT, and Hollow axles

485 views • 20 slides
DCatch: Automatically Detecting Distributed Concurrency Bugs in Cloud Systems Haopeng Liu ,

DCatch: Automatically Detecting Distributed Concurrency Bugs in Cloud Systems Haopeng Liu ,

1 DCatch: Automatically Detecting Distributed Concurrency Bugs in Cloud Systems Haopeng Liu , Guangpu Li, Jeffrey Lukman, Jiaxin Li, Shan Lu, Haryadi Gunawi, and Chen Tian* * 2 Cloud systems 3 Cloud systems 4 Distributed concurrency bugs

1.3k views • 93 slides
Who is vulnerable to household food insecurity and what does this mean for policy and practice?

Who is vulnerable to household food insecurity and what does this mean for policy and practice?

Welcome! We will start the audio at 1pm Eastern . Audio will be broadcast over GoToWebinar automatically and all participant microphones are muted. April 13 th , 2017 1:00 2:30 PM Eastern Who is vulnerable to household food insecurity and

768 views • 63 slides
Detecting annotation noise in automatically labelled data Ines Rehbein & Josef Ruppenhofer

Detecting annotation noise in automatically labelled data Ines Rehbein & Josef Ruppenhofer

Motivation Related Work Method Experiments Conclusions Detecting annotation noise in automatically labelled data Ines Rehbein & Josef Ruppenhofer Leibniz ScienceCampus ACL 2017 Motivation Related Work Method Experiments Conclusions

782 views • 53 slides
12/6/2013 Detecting Fakes Image Forensics: Detecting Forged Photos 1.Detecting photorealistic

12/6/2013 Detecting Fakes Image Forensics: Detecting Forged Photos 1.Detecting photorealistic

12/6/2013 Detecting Fakes Image Forensics: Detecting Forged Photos 1.Detecting photorealistic graphics 2.Detecting manipulated images Photo manipulation is the application of image editing techniques to photographs in order to create an

306 views • 13 slides
Herbicides (Atrazine and 2,4-D) 25 sites in May Pathogens 113 sites in mid-July 88 sites in

Herbicides (Atrazine and 2,4-D) 25 sites in May Pathogens 113 sites in mid-July 88 sites in

Herbicides (Atrazine and 2,4-D) 25 sites in May Pathogens 113 sites in mid-July 88 sites in mid-August Chemicals and Nutrients 53 sites in September Metals 15 sites in September Total # of KRWW Sites Sampled by Year 300 248 250 231 207

723 views • 44 slides
Hardware is too important to trust U NTRUSTED C OMPUTING B ASE : blindly Detecting and Removing

Hardware is too important to trust U NTRUSTED C OMPUTING B ASE : blindly Detecting and Removing

Overcoming an Hardware is too important to trust U NTRUSTED C OMPUTING B ASE : blindly Detecting and Removing Malicious Hardware Automatically Rest of the system Matthew Hicks Murph Finnicum Samuel T. King University of Illinois

428 views • 9 slides
House Rules We encourage you to leave your video on, but you may turn it off if you prefer.

House Rules We encourage you to leave your video on, but you may turn it off if you prefer.

House Rules We encourage you to leave your video on, but you may turn it off if you prefer. Hostile Homes Audience members will be kept on Domestic Violence, the Virus mute for the duration of the event. and the Vulnerable You may type your

146 views • 10 slides
DETECTING RUMORS FROM MICROBLOGS WITH RECURRENT NEURAL NETWORKS 515030910611 INTRODUCTION

DETECTING RUMORS FROM MICROBLOGS WITH RECURRENT NEURAL NETWORKS 515030910611 INTRODUCTION

PROJECT DETECTING RUMORS FROM MICROBLOGS WITH RECURRENT NEURAL NETWORKS 515030910611 INTRODUCTION Microblogging platforms are an ideal place for spreading rumors and automatically debunking rumors is a crucial problem. False rumors are

184 views • 16 slides
Parasitic effects Snubbers and clamps Turn on and turn off effects Turn on - diode

Parasitic effects Snubbers and clamps Turn on and turn off effects Turn on - diode

Mor M. Peretz, Switch-Mode Power Supplies [5-1] Parasitic effects Snubbers and clamps Turn on and turn off effects Turn on - diode reverse recovery Turn off dI/dT effect on transistor Turn off diode forward recovery

367 views • 12 slides
Detecting Chang Detecting Changes in W s in Water ter Qua Q ualit lity i lit lit i in L

Detecting Chang Detecting Changes in W s in Water ter Qua Q ualit lity i lit lit i in L

Detecting Chang Detecting Changes in W s in Water ter Qua Q ualit lity i lit lit i in L i L L Long ong I I Islan I l and S d S d S d Soun ound d with with NERACOOS Buoy y Observations James ODonnell, Todd Fake, Kay

815 views • 26 slides
TURN REST Server API draft-uberti-behave-turn-rest-00 Justin Uberti, Google 1 Typical TURN

TURN REST Server API draft-uberti-behave-turn-rest-00 Justin Uberti, Google 1 Typical TURN

TURN REST Server API draft-uberti-behave-turn-rest-00 Justin Uberti, Google 1 Typical TURN Auth: Config TURN Password Client Server DB WebRTC JavaScript code: var iceServer = { uris: ["turn:turn.bar.com:3478?proto=udp"],

542 views • 18 slides
A practical approach to detect turn to turn shorts during superconductive magnet fabrication

A practical approach to detect turn to turn shorts during superconductive magnet fabrication

Introduction CLAS12 turn to turn short detector High resolution DC resistance A practical approach to detect turn to turn shorts during superconductive magnet fabrication Giovanni Gabrielli Supervisor: Luciano Elementi Coordinator: Emanuela

1.05k views • 62 slides
SMART STATIC SITES WITH HAKYLL -Eric Rasmussen BACK TO THE 90'S ERIC'S HOME PAGE!!! Maybe not

SMART STATIC SITES WITH HAKYLL -Eric Rasmussen BACK TO THE 90'S ERIC'S HOME PAGE!!! Maybe not

SMART STATIC SITES WITH HAKYLL -Eric Rasmussen BACK TO THE 90'S ERIC'S HOME PAGE!!! Maybe not those 90's But static sites are coming back in style WHAT ARE STATIC SITE GENERATORS? think of them as build tools turn any input into html

821 views • 36 slides
Technological advances in Detecting Microbial Hazards in Food. Rahul Warke Microbial Hazards

Technological advances in Detecting Microbial Hazards in Food. Rahul Warke Microbial Hazards

Technological advances in Detecting Microbial Hazards in Food. Rahul Warke Microbial Hazards Survival and growth of microorganisms in food processing environments may lead to contamination of the finished product that may, in turn result in

395 views • 20 slides
DETECTING LOCALIZED ROUGHNESS USING DYNAMIC SEGMENTATION By Amin El Gendy & Ahmed Shalaby

DETECTING LOCALIZED ROUGHNESS USING DYNAMIC SEGMENTATION By Amin El Gendy & Ahmed Shalaby

DETECTING LOCALIZED ROUGHNESS USING DYNAMIC SEGMENTATION By Amin El Gendy & Ahmed Shalaby Department of Civil Engineering University of Manitoba The C-LTPP project The C-LTPP Project includes 24 test sites constructed between 1989 and

201 views • 17 slides
Detecting Cracks under Bushings Detecting Cracks under Bushings in Aircraft Structures in

Detecting Cracks under Bushings Detecting Cracks under Bushings in Aircraft Structures in

Inno Innovative Materials tive Materials Air Force Research Center for Nondestructive Testin Testing T Tech chnologies, es, I Inc. c. Laboratory Evaluation Detecting Cracks under Bushings Detecting Cracks under Bushings in Aircraft

308 views • 12 slides
Detecting changes in Detecting changes in the rate the rate of a of a Poisson process

Detecting changes in Detecting changes in the rate the rate of a of a Poisson process

Detecting changes in Detecting changes in the rate the rate of a of a Poisson process Poisson process George V. Moustakides Outline Overview of the change detection problem CUSUM test and Lordens criterion The Poisson

454 views • 28 slides
Lack of Public Awareness at High Consequence Sites Transparency = Communication & openness

Lack of Public Awareness at High Consequence Sites Transparency = Communication & openness

Lack of Public Awareness at High Consequence Sites Transparency = Communication & openness Audience: - Right to know vs need to know. - Highest need to know is among vulnerable populations and first responders Existing

350 views • 33 slides
1 Mor M. Peretz, Switch-Mode Power Supplies [5-4] Transistor turn off - parasitics L main

1 Mor M. Peretz, Switch-Mode Power Supplies [5-4] Transistor turn off - parasitics L main

Mor M. Peretz, Switch-Mode Power Supplies [5-1] Parasitic effects Snubbers and clamps Turn on and turn off effects Turn on - diode reverse recovery Turn off dI/dT effect on transistor Turn off diode forward recovery

256 views • 8 slides
SAP IGS SAP IGS THE 'VULNERABLE' FORGOTTEN COMPONENT THE 'VULNERABLE' FORGOTTEN COMPONENT Yvan

SAP IGS SAP IGS THE 'VULNERABLE' FORGOTTEN COMPONENT THE 'VULNERABLE' FORGOTTEN COMPONENT Yvan

SAP IGS SAP IGS THE 'VULNERABLE' FORGOTTEN COMPONENT THE 'VULNERABLE' FORGOTTEN COMPONENT Yvan GENUER - Troopers 2018 DISCLAIMER DISCLAIMER Can't disclose too much Nothing hardcore Skipping 'What is SAP' part BAPI_USER_GET_DETAIL

1.32k views • 105 slides

More recommend