execscent mining for new c c domains in live networks
play

ExecScent: Mining for New C&C Domains in Live Networks - PowerPoint PPT Presentation

May 06, 2023 •161 likes •506 views

ExecScent: Mining for New C&C Domains in Live Networks with Adap?ve Control Protocol Templates Terry Nelms 1,2 , Roberto Perdisci 3,2 , Mustaque Ahamad 2,4 1

  1. ExecScent: ¡Mining ¡for ¡New ¡C&C ¡Domains ¡ in ¡Live ¡Networks ¡with ¡Adap?ve ¡Control ¡ Protocol ¡Templates ¡ Terry ¡Nelms 1,2 , ¡Roberto ¡Perdisci 3,2 , ¡Mustaque ¡Ahamad 2,4 ¡ 1 Damballa ¡Inc. ¡ 2 Georgia ¡Ins?tute ¡of ¡Technology, ¡College ¡of ¡Compu?ng ¡ 3 University ¡of ¡Georgia ¡– ¡Dept. ¡of ¡Computer ¡Science ¡ 4 New ¡York ¡University ¡Abu ¡Dhabi ¡

  2. Modern Malware Networking C&C Web Proxy badguy.com Enterprise Network 192.168.1.2 8/23/13 ¡ 2 ¡

  3. Malware Network Detection Methods • Anomaly-­‑Based ¡ • Domain-­‑Based ¡ • URL-­‑Regex ¡ ¡ 8/23/13 ¡ 3 ¡

  4. ExecScent Goals & Observations • Goals: ¡ – Network ¡detec?on ¡domains ¡& ¡hosts. ¡ – Malware ¡family ¡aWribu?on. ¡ • Observa?ons: ¡ – C&C ¡protocol ¡changes ¡infrequently. ¡ – HTTP ¡C&C ¡applica?on ¡layer ¡protocol. ¡ ¡ 8/23/13 ¡ 4 ¡

  5. Adaptive Control Protocol Templates • Structure ¡of ¡the ¡protocol. ¡ ¡ • Self-­‑tuning. ¡ • En?re ¡HTTP ¡request. ¡ 8/23/13 ¡ 5 ¡

  6. ExecScent Overview Adaptive (self-tuning) Malware Traffic Traces Control Protocol Templates ExecScent ... (learning) Background Network Traffic Enterprise Network 8/23/13 ¡ 6 ¡

  7. ExecScent Overview Adaptive (self-tuning) Malware Traffic Traces Control Protocol Templates ExecScent ... (learning) Background template Network Traffic matching HTTP(S) Traffic C&C Web Proxy Enterprise Network 8/23/13 ¡ 7 ¡

  8. ExecScent Overview Adaptive (self-tuning) Malware Traffic Traces Control Protocol Templates ExecScent ... (learning) Similarity Background template Network Traffic matching Specificity HTTP(S) Traffic C&C Web Proxy Enterprise Network 8/23/13 ¡ 8 ¡

  9. ExecScent Overview Adaptive (self-tuning) Malware Traffic Traces Control Protocol Templates ExecScent ... (learning) Infected Hosts Background template Network Traffic matching C&C Domains HTTP(S) Traffic C&C Web Proxy Enterprise Network 8/23/13 ¡ 9 ¡

  10. Template Learning Process Labeled C&C Domains Generate Labeled Malware Request Request Control Control C&C Generalization Clustering Protocol Protocol Traces Templates Templates Background Network Traffic 8/23/13 ¡ 10 ¡

  11. Malware C&C Traces Labeled C&C Domains Generate Labeled Malware Request Request Control Control C&C Generalization Clustering Protocol Protocol Traces Templates Templates Background Network Traffic 8/23/13 ¡ 11 ¡

  12. Request Generalization Labeled C&C Domains Generate Labeled Malware Request Request Control Control C&C Generalization Clustering Protocol Protocol Traces Templates Templates Background Network Traffic 8/23/13 ¡ 12 ¡

  13. Request Generalization (a) Request 1 : GET /Ym90bmV0DQo=/cnc.php?v=121&cc=IT Host: www.bot.net User-Agent: 680e4a9a7eb391bc48118baba2dc8e16 ... Request 2 : GET /bWFsd2FyZQ0KDQo=/cnc.php?v=425&cc=US Host: www.malwa.re User-Agent: dae4a66124940351a65639019b50bf5a ... (b) Request 1 : GET /<Base64;12>/cnc.php?v=<Int;3>&cc=<Str;2> Host: www.bot.net User-Agent: <Hex;32> ... Request 2 : GET /<Base64;16>/cnc.php?v=<Int;3>&cc=<Str;2> Host: www.malwa.re User-Agent: <Hex;32> ... 8/23/13 ¡ 13 ¡

  14. Request Clustering Labeled C&C Domains Generate Labeled Malware Request Request Control Control C&C Generalization Clustering Protocol Protocol Traces Templates Templates Background Network Traffic 8/23/13 ¡ 14 ¡

  15. Labeled C&C Domains Labeled C&C Domains Generate Labeled Malware Request Request Control Control C&C Generalization Clustering Protocol Protocol Traces Templates Templates Background Network Traffic 8/23/13 ¡ 15 ¡

  16. Labeled C&C Domains Labeled C&C Domains Generate Labeled Malware Request Request Control Control C&C Generalization Clustering Protocol Protocol Traces Templates Templates Background Network Traffic 8/23/13 ¡ 16 ¡

  17. Generating CPTs Labeled C&C Domains Generate Labeled Malware Request Request Control Control C&C Generalization Clustering Protocol Protocol Traces Templates Templates Background Network Traffic 8/23/13 ¡ 17 ¡

  18. Generating CPTs Malware-A Unlabeled Unlabeled Unlabeled Unlabeled Malware-C Malware-F Malware-D Malware-B Malware-E Unlabeled Unlabeled 8/23/13 ¡ 18 ¡

  19. Labeled CPTs Labeled C&C Domains Generate Labeled Malware Request Request Control Control C&C Generalization Clustering Protocol Protocol Traces Templates Templates Background Network Traffic 8/23/13 ¡ 19 ¡

  20. Labeled CPT 1 ) Median URL path : /<Base64;14>/cnc.php 2 ) URL query component : {v=<Int,3>, cc=<String;2>} 3 ) User Agent : {<Hex;32>} 4 ) Other headers : {(Host;13), (Accept-Encoding;8)} 5 ) Dst nets : {172.16.8.0/24, 10.10.4.0/24, 192.168.1.0/24} Malware family : { Trojan-A , BotFamily-1 } URL regex : GET /.*\?(cc|v)= Background traffic profile : specificity scores used to adapt the CPT to the deployment environment 8/23/13 ¡ 20 ¡

  21. Template Matching • Similarity ¡ ¡ Input: ¡ ¡ req, ¡CPT ¡ ¡ – Measures ¡likeness ¡ Similarity: ¡ ¡ s (req i , ¡CPT i ), ¡ ¡ ¡ ¡ – Components ¡ for ¡each ¡component ¡ i ¡ – Weighted ¡average ¡ ¡ – Match ¡threshold ¡ Specificity: ¡ ¡ δ (req i , ¡CPT i ), ¡ for ¡each ¡component ¡ i ¡ • Specificity ¡ ¡ ¡ – Measures ¡uniqueness ¡ Match-­‑Score: ¡ ¡ f (sim, ¡spec) ¡ ¡ – Dynamic ¡weights ¡ If ¡Match-­‑Score ¡> ¡Θ: ¡ – Self-­‑tuning ¡ ¡ ¡ ¡ ¡return ¡C&C ¡Request ¡ 8/23/13 ¡ 21 ¡

  22. Similarity & Specificity Examples • Example ¡A ¡(High ¡Similarity, ¡Low ¡Specificity): ¡ – /index.html ¡-­‑ ¡Request ¡ – /index.html ¡ -­‑ ¡CPT ¡ • Example ¡B ¡(Low ¡Similarity, ¡High ¡Specificity): ¡ – /downloads/9908-­‑7623-­‑0098/images ¡ -­‑ ¡Request ¡ ¡ – /VGVycnkgTmVsbXMK ¡(<Base64, ¡16>) ¡ -­‑ ¡CPT ¡ • Example ¡C ¡(High ¡Similarity, ¡High ¡Specificity) ¡ – /Ui4gUGVyZGlzY2kK ¡(<Base64, ¡16>) -­‑ ¡Request ¡ – /VGVycnkgTmVsbXMK ¡(<Base64, ¡16>) -­‑ ¡CPT ¡ 8/23/13 ¡ 22 ¡

  23. Evaluation Deployment Networks UNetA UNetB FNet Distinct Src IPs 7 , 893 27 , 340 7 , 091 HTTP Requests 34 , 871 , 003 66 , 298 , 395 58 , 019 , 718 Distinct Domains 149 , 481 238 , 014 113 , 778 • Evalua?on ¡ran ¡for ¡two ¡weeks. ¡ ¡ • CPTs ¡updated ¡daily ¡beginning ¡two ¡weeks ¡ prior ¡to ¡evalua?on. ¡ 8/23/13 ¡ 23 ¡

  24. Ground Truth • Commercial ¡C&C ¡blacklist. ¡ • Pruned ¡Alexa ¡top ¡1 ¡million. ¡ • Professional ¡threat ¡analysts. ¡ 8/23/13 ¡ 24 ¡

  25. Finding C&C Domains 80 ¡ 70 ¡ FP ¡≈ ¡.02% ¡ 60 ¡ FP ¡≈ ¡.015% ¡ 50 ¡ C&C ¡Domains ¡ FP ¡≈ ¡.01% ¡ UNetA ¡ 40 ¡ UNetB ¡ FP ¡= ¡0.0% ¡ Fnet ¡ 30 ¡ 20 ¡ 10 ¡ 0 ¡ 0.62 ¡ 0.65 ¡ 0.73 ¡ 0.84 ¡ Match ¡Threshold ¡ 8/23/13 ¡ 25 ¡

  26. New vs. Blacklist Domains 100% ¡ 90% ¡ 80% ¡ 70% ¡ 60% ¡ Blacklist ¡C&C ¡ 50% ¡ New ¡C&C ¡ 40% ¡ 30% ¡ 20% ¡ 10% ¡ 0% ¡ UNetA ¡ UNetB ¡ Fnet ¡ 8/23/13 ¡ 26 ¡

  27. New vs. Blacklist Infected Hosts 100% ¡ 90% ¡ 80% ¡ 70% ¡ 60% ¡ Blacklist ¡Infec?ons ¡ 50% ¡ New ¡Infec?ons ¡ 40% ¡ 30% ¡ 20% ¡ 10% ¡ 0% ¡ UNetA ¡ UNetB ¡ Fnet ¡ 8/23/13 ¡ 27 ¡

  28. ISP Deployment • Deployed ¡the ¡ 65 ¡ newly ¡discovered ¡C&C ¡ domains ¡on ¡ 6 ¡ISP ¡networks ¡for ¡one ¡week. ¡ • Counted ¡the ¡number ¡of ¡dis?nct ¡source ¡IP ¡ addresses ¡contac?ng ¡the ¡domains ¡daily. ¡ • Iden?fied ¡ 25,584 ¡new ¡poten?al ¡malware ¡ infec?ons. ¡ 8/23/13 ¡ 28 ¡

  29. Model Comparison - True Positives 8/23/13 ¡ 29 ¡

  30. Model Comparison – False Positives 8/23/13 ¡ 30 ¡

  31. Limitations • Dependence ¡on ¡malware ¡traces ¡and ¡labeled ¡ domains. ¡ ¡ • Implement ¡a ¡new ¡protocol ¡when ¡the ¡C&C ¡domain ¡ or ¡IP ¡address ¡changes. ¡ • Blend ¡into ¡background ¡traffic. ¡ • Inject ¡noise ¡into ¡the ¡protocol. ¡ 8/23/13 ¡ 31 ¡

Recommend

Domains of Warfare Space Sp ace Cybe Cy ber- Air ir Sp Space ace Five Fi Domains of

Domains of Warfare Space Sp ace Cybe Cy ber- Air ir Sp Space ace Five Fi Domains of

Domains of Warfare Space Sp ace Cybe Cy ber- Air ir Sp Space ace Five Fi Domains of Doma of Warfar are Lan and Se Sea Joint M ultinational Combined Arms Live-Fire Exercise Camp Grayling-Alpena CRTC 2010-2018 NORTHERN

310 views • 4 slides
Mining Heterogeneous Mining Heterogeneous Information Networks Information Networks Xifeng Yan

Mining Heterogeneous Mining Heterogeneous Information Networks Information Networks Xifeng Yan

ACM SIGKDD Conference Tutorial, Washington, D.C., July 25, 2010 Mining Heterogeneous Mining Heterogeneous Information Networks Information Networks Xifeng Yan Jiawei Han Yizhou Sun Philip S. Yu University of Illinois at Urbana

2.29k views • 176 slides
Mining Large Single Networks under Subgraph Mining Large Single Networks under Subgraph

Mining Large Single Networks under Subgraph Mining Large Single Networks under Subgraph

Mining Large Single Networks under Subgraph Mining Large Single Networks under Subgraph Homomorphism Homomorphism Mostafa H. Chehreghani Jan Ramon Thomas Fannes 12/13/13 Overview Introduction Problem definition and preliminaries

547 views • 13 slides
Think You Know Fast-Flux Domains? Think Again. New

Think You Know Fast-Flux Domains? Think Again. New

Think You Know Fast-Flux Domains? Think Again. New Trends in Fast-Flux Domains Wei Xu, Xinran Wang Palo Alto Networks What we used

453 views • 23 slides
Web Mining Web Mining Web Mining Web Mining Web mining is the use of data mining techniques

Web Mining Web Mining Web Mining Web Mining Web mining is the use of data mining techniques

What is Web Mining? Wh t i W b Mi i What is Web Mining? Wh t i W b Mi i ? ? Web Mining Web Mining Web Mining Web Mining Web mining is the use of data mining techniques to automat cally d scover and extract nformat on automatically

774 views • 20 slides
Why Complex Analysis Pseudoconvex Domains: Where Holomorphic Functions Live Beautiful theory

Why Complex Analysis Pseudoconvex Domains: Where Holomorphic Functions Live Beautiful theory

Why Complex Analysis Pseudoconvex Domains: Where Holomorphic Functions Live Beautiful theory Applications to Pure Math (PDEs, Geometry, Number Theory, . . . ) S onmez S ahuto glu Applications to Applied Math (Fourier Analysis,

315 views • 7 slides
Web Mining Web Mining Web mining is the use of data mining techniques to automatically

Web Mining Web Mining Web mining is the use of data mining techniques to automatically

What is Web Mining? What is Web Mining? Web Mining Web Mining Web mining is the use of data mining techniques to automatically discover and extract information from Web documents/services (Etzioni, 1996, CACM 39(11)) Web mining aims to

567 views • 22 slides
We Cant Live Without Them! App Developers Adoption of Ad Networks and Their

We Cant Live Without Them! App Developers Adoption of Ad Networks and Their

We Cant Live Without Them! App Developers Adoption of Ad Networks and Their Considerations of Consumer Risks Abraham Mhaidli, Yixin Zou, Florian Schaub University of Michigan School of Information 50% of mobile apps use ads (and

460 views • 30 slides
Data Mining Lecture Notes for Chapter 4 Artificial Neural Networks Introduction to Data Mining ,

Data Mining Lecture Notes for Chapter 4 Artificial Neural Networks Introduction to Data Mining ,

Data Mining Lecture Notes for Chapter 4 Artificial Neural Networks Introduction to Data Mining , 2 nd Edition by Tan, Steinbach, Karpatne, Kumar Introduction to Data Mining, 2 nd Edition 10/12/2020 1 1 Artificial Neural Networks (ANN)

447 views • 13 slides
Mining temporal networks Aristides Gionis Department of Computer Science, Aalto University

Mining temporal networks Aristides Gionis Department of Computer Science, Aalto University

Mining temporal networks Aristides Gionis Department of Computer Science, Aalto University users.ics.aalto.fi/gionis Nov 14, 2016 networks a simple abstraction used to model many different real-world datasets social networks

812 views • 59 slides
Modeling Data Correlations in Private Data Mining with Markov Model and Markov Networks Yang Cao

Modeling Data Correlations in Private Data Mining with Markov Model and Markov Networks Yang Cao

Modeling Data Correlations in Private Data Mining with Markov Model and Markov Networks Yang Cao Emory University 2017.11.15 Outline Data Mining with Di ff erential Privacy (DP) Scenario: Spatiotemporal Data Mining using DP Markov

801 views • 37 slides
Bi-Continuous Domains and Some Old Problems in Domain Theory Talk at Domains IX Klaus Keimel

Bi-Continuous Domains and Some Old Problems in Domain Theory Talk at Domains IX Klaus Keimel

Bi-Continuous Domains and Some Old Problems in Domain Theory Talk at Domains IX Klaus Keimel October 21, 2008 Warning: These Notes contain the contents of my Talk at Domains IX. There may be mistakes. References are incomplete. Comments are

142 views • 11 slides
APPLICATIONS OF MINING HETEROGENEOUS INFORMATION NETWORKS Yizhou Sun College of Computer and

APPLICATIONS OF MINING HETEROGENEOUS INFORMATION NETWORKS Yizhou Sun College of Computer and

APPLICATIONS OF MINING HETEROGENEOUS INFORMATION NETWORKS Yizhou Sun College of Computer and Information Science Northeastern University yzsun@ccs.neu.edu July 25, 2015 Heterogeneous Information Networks Multiple object types and/or

1.23k views • 64 slides
Mining Heavy Subgraphs in Time-Evolving Networks Petko Bogdanov (petko@cs.ucsb.edu) Misael

Mining Heavy Subgraphs in Time-Evolving Networks Petko Bogdanov (petko@cs.ucsb.edu) Misael

Mining Heavy Subgraphs in Time-Evolving Networks Petko Bogdanov (petko@cs.ucsb.edu) Misael Mongiov Ambuj Singh Department of Computer Science University of California Santa Barbara Traffic networks ICDM 2011 2 Images from

1.23k views • 34 slides
Fast and Accurate Mining of Evolving &amp; Trajectory Networks Manos Papagelis York University,

Fast and Accurate Mining of Evolving &amp; Trajectory Networks Manos Papagelis York University,

Fast and Accurate Mining of Evolving &amp; Trajectory Networks Manos Papagelis York University, Toronto, Canada Current Research focus A. Network Representation Learning B. Trajectory Network Mining C. Streaming &amp; Dynamic Graphs D.

792 views • 52 slides
Graph Data Management Systems for New Applica9on Domains:

Graph Data Management Systems for New Applica9on Domains:

Graph Data Management Systems for New Applica9on Domains: Social Networks &amp; the Web of Data Philippe Cudr-Mauroux Sameh Elnikety University of

902 views • 89 slides
Approximate Computing Is Dead; Long Live Approximate Computing Adrian Sampson Cornell Hardware

Approximate Computing Is Dead; Long Live Approximate Computing Adrian Sampson Cornell Hardware

Approximate Computing Is Dead; Long Live Approximate Computing Adrian Sampson Cornell Hardware Programming Quality Domains Hardware Programming No more approximate functional units. Quality Domains Narrower bit widths are just as

783 views • 33 slides
Multiscale Processing on Networks and Community Mining Part 1 - Communities in networks Graph

Multiscale Processing on Networks and Community Mining Part 1 - Communities in networks Graph

Introduction Communities in networks Graph Signal Processing Examples of graph signal processing Multiscale Processing on Networks and Community Mining Part 1 - Communities in networks Graph Signal Processing Pierre Borgnat CR1 CNRS

670 views • 51 slides
CS249: SPECIAL TOPICS MINING INFORMATION/SOCIAL NETWORKS Overview of Networks Instructor: Yizhou

CS249: SPECIAL TOPICS MINING INFORMATION/SOCIAL NETWORKS Overview of Networks Instructor: Yizhou

CS249: SPECIAL TOPICS MINING INFORMATION/SOCIAL NETWORKS Overview of Networks Instructor: Yizhou Sun yzsun@cs.ucla.edu January 10, 2017 Overview of Information Network Analysis Network Representation Network Properties Network

745 views • 57 slides
Web Mining Web Mining to automatically discover and extract information from Web

Web Mining Web Mining to automatically discover and extract information from Web

What is Web Mining? What is Web Mining? Web mining is the use of data mining techniques Web Mining Web Mining to automatically discover and extract information from Web documents/services (Etzioni, 1996, CACM 39(11)) (another definition:

287 views • 15 slides
Web Mining Web Mining to automatically discover and extract information from Web

Web Mining Web Mining to automatically discover and extract information from Web

What is Web Mining? What is Web Mining? Web mining is the use of data mining techniques Web Mining Web Mining to automatically discover and extract information from Web documents/services (Etzioni, 1996, CACM 39(11)) 1 2 The Web The Web

468 views • 23 slides
Challenges in building human networks Dr. Abdur Chowdhury Outline Human networks?

Challenges in building human networks Dr. Abdur Chowdhury Outline Human networks?

Challenges in building human networks Dr. Abdur Chowdhury Outline Human networks? Challenges Human Network? The Internet Today Computers ~1.5 Billion ~2.4 Billion people online 200M domains, &gt;50B pages Education

593 views • 18 slides
Mining Attributed Networks Part 1 Introduction Rushed Kanawati, Martin Atzmueller A 3 ,

Mining Attributed Networks Part 1 Introduction Rushed Kanawati, Martin Atzmueller A 3 ,

Overview Complex Network Analysis Outlook Mining Attributed Networks Part 1 Introduction Rushed Kanawati, Martin Atzmueller A 3 , Universit e Sorbonne Paris Cit e, France CSAI, Tilburg University, Netherlands DSAA17, Tokyo 20

2.15k views • 199 slides
Mining Network Traffic Data Ljiljana Trajkovi ljilja@cs.sfu.ca Communication Networks

Mining Network Traffic Data Ljiljana Trajkovi ljilja@cs.sfu.ca Communication Networks

Mining Network Traffic Data Ljiljana Trajkovi ljilja@cs.sfu.ca Communication Networks Laboratory http://www.ensc.sfu.ca/cnl School of Engineering Science Simon Fraser University, Vancouver, British Columbia Canada Roadmap Introduction

1.97k views • 145 slides

More recommend