spamming botnets signatures and characteris5cs xie et al
play

Spamming Botnets: Signatures and Characteris5cs Xie et al. - PowerPoint PPT Presentation

Apr 11, 2024 •448 likes •823 views

Spamming Botnets: Signatures and Characteris5cs Xie et al. Presented by Kyle Mar5n <kyle.mar5n@knights.ucf.edu> The Problems Botnets The Problems

  1. Spamming ¡Botnets: ¡Signatures ¡and ¡ Characteris5cs ¡ Xie ¡et ¡al. ¡ ¡ Presented ¡by ¡ ¡ Kyle ¡Mar5n ¡ <kyle.mar5n@knights.ucf.edu> ¡

  2. The ¡Problems ¡ • Botnets ¡

  3. The ¡Problems ¡ • Botnets ¡ • Spam ¡

  4. The ¡Problems ¡ • Botnets ¡ • Spam ¡ • Botnets ¡+ ¡Spam ¡

  5. AutoRE ¡ • Generates ¡botnet ¡spam ¡signatures ¡ • No ¡labeled ¡data ¡or ¡external ¡sources ¡required ¡ • Regular ¡Expressions ¡for ¡embedded ¡URL ¡ • Organizes ¡spam ¡into ¡groups ¡by ¡campaign ¡ • Iden5fy ¡characteris5cs ¡of ¡spam ¡botnets ¡ ¡

  6. URLs ¡and ¡Spam ¡ • Spam ¡messages ¡can ¡ contain ¡mul5ple ¡URLs ¡ • Generic ¡URLs ¡usually ¡ included ¡ • Polymorphic ¡URLs ¡

  7. Workflow ¡

  8. Grouping ¡URLs ¡ • URLs ¡grouped ¡by ¡domain ¡ • Select ¡groups ¡characterizing ¡a ¡campaign ¡ – Temporal ¡correla5on ¡ – Dis5nct ¡IPs ¡ac5ve ¡in ¡a ¡span ¡of ¡5me ¡ – Sharp ¡spikes ¡indicate ¡strong ¡correla5on ¡

  9. Genera5ng ¡Signatures ¡ • Distributed ¡ – Number ¡of ¡Autonomous ¡ Systems ¡

  10. Genera5ng ¡Signatures ¡ • Distributed ¡ – Number ¡of ¡Autonomous ¡ Systems ¡ • Bursty ¡ – Long-­‑term ¡campaign ¡ dura5ons ¡(over ¡days) ¡

  11. Genera5ng ¡Signatures ¡ • Distributed ¡ – Number ¡of ¡Autonomous ¡ Systems ¡ • Bursty ¡ – Long-­‑term ¡campaign ¡ dura5ons ¡(over ¡days) ¡ • Specificity ¡ – Probability ¡of ¡a ¡random ¡ URL ¡matching ¡

  12. Regular ¡Expression ¡Genera5on ¡ • Signature ¡Trees ¡ • Detailing ¡

  13. Regular ¡Expression ¡Genera5on ¡ • Signature ¡Trees ¡ • Detailing ¡ • Generalizing ¡ • Quality ¡Evalua5on ¡

  14. Results ¡

  15. Valida5on ¡ • Quality ¡of ¡Signatures ¡ – False ¡posi5ve ¡rate ¡

  16. Valida5on ¡ • Quality ¡of ¡Signatures ¡ – False ¡posi5ve ¡rate ¡ – Over ¡5me ¡

  17. Valida5on ¡ • Quality ¡of ¡Signatures ¡ – False ¡posi5ve ¡rate ¡ – Over ¡5me ¡ – REs ¡vs. ¡Conjuga5on ¡

  18. Valida5on ¡ • Quality ¡of ¡Signatures ¡ – False ¡posi5ve ¡rate ¡ – Over ¡5me ¡ – REs ¡vs. ¡Conjuga5on ¡ – Effect ¡of ¡generaliza5on ¡

  19. Valida5on ¡ • Quality ¡of ¡Signatures ¡ – False ¡posi5ve ¡rate ¡ – Over ¡5me ¡ – REs ¡vs. ¡Conjuga5on ¡ – Effect ¡of ¡generaliza5on ¡ • Host ¡Iden5fica5on ¡ – Based ¡on ¡long-­‑term ¡ spamming ¡history ¡

  20. Valida5on ¡ • Quality ¡of ¡Signatures ¡ – False ¡posi5ve ¡rate ¡ – Over ¡5me ¡ – REs ¡vs. ¡Conjuga5on ¡ – Effect ¡of ¡generaliza5on ¡ • Host ¡Iden5fica5on ¡ – Based ¡on ¡long-­‑term ¡ spamming ¡history ¡

  21. Valida5on ¡ • Quality ¡of ¡Signatures ¡ – False ¡posi5ve ¡rate ¡ – Over ¡5me ¡ – REs ¡vs. ¡Conjuga5on ¡ – Effect ¡of ¡generaliza5on ¡ • Host ¡Iden5fica5on ¡ – Based ¡on ¡long-­‑term ¡ spamming ¡history ¡ • Campaign ¡Iden5fica5on ¡ – Based ¡on ¡similarity ¡of ¡ URL ¡des5na5ons ¡

  22. Valida5on ¡ • Quality ¡of ¡Signatures ¡ – False ¡posi5ve ¡rate ¡ – Over ¡5me ¡ – REs ¡vs. ¡Conjuga5on ¡ – Effect ¡of ¡generaliza5on ¡ • Host ¡Iden5fica5on ¡ – Based ¡on ¡long-­‑term ¡ spamming ¡history ¡ • Campaign ¡Iden5fica5on ¡ – Based ¡on ¡similarity ¡of ¡ URL ¡des5na5ons ¡

  23. Campaign ¡Characteris5cs ¡ • IP ¡Distribu5on ¡

  24. Campaign ¡Characteris5cs ¡ • IP ¡Distribu5on ¡

  25. Campaign ¡Characteris5cs ¡ • IP ¡Distribu5on ¡

  26. Campaign ¡Characteris5cs ¡ • IP ¡Distribu5on ¡ • Per ¡Campaign ¡ – Similarity ¡of ¡content ¡

  27. Campaign ¡Characteris5cs ¡ • IP ¡Distribu5on ¡ • Per ¡Campaign ¡ – Similarity ¡of ¡content ¡ – Similarity ¡of ¡5me ¡

  28. Campaign ¡Characteris5cs ¡ • IP ¡Distribu5on ¡ • Per ¡Campaign ¡ – Similarity ¡of ¡content ¡ – Similarity ¡of ¡5me ¡ – Similarity ¡of ¡behavior ¡

  29. Campaign ¡Characteris5cs ¡ • IP ¡Distribu5on ¡ • Per ¡Campaign ¡ – Similarity ¡of ¡content ¡ – Similarity ¡of ¡5me ¡ – Similarity ¡of ¡behavior ¡ • Different ¡Campaigns ¡ – Botnets ¡with ¡similar ¡ signatures ¡

  30. Campaign ¡Characteris5cs ¡ • IP ¡Distribu5on ¡ • Per ¡Campaign ¡ – Similarity ¡of ¡content ¡ – Similarity ¡of ¡5me ¡ – Similarity ¡of ¡behavior ¡ • Different ¡Campaigns ¡ – Botnets ¡with ¡similar ¡ signatures ¡ – Sending ¡pa`ern ¡clusters ¡

  31. Campaign ¡Characteris5cs ¡ • IP ¡Distribu5on ¡ • Per ¡Campaign ¡ – Similarity ¡of ¡content ¡ – Similarity ¡of ¡5me ¡ – Similarity ¡of ¡behavior ¡ • Different ¡Campaigns ¡ – Botnets ¡with ¡similar ¡ signatures ¡ – Sending ¡pa`ern ¡clusters ¡ • Scanning ¡traffic ¡

  32. Strengths ¡ • Generates ¡botnet ¡signatures ¡without ¡labeling ¡ • No ¡external ¡services ¡required ¡ • Signatures ¡have ¡a ¡low ¡false ¡posi5ve ¡rate ¡ • Signatures ¡useful ¡for ¡characterizing ¡botnet ¡ spamming ¡behaviors ¡

  33. Weaknesses ¡ • Only ¡based ¡on ¡URLs, ¡not ¡effec5ve ¡against ¡text, ¡ images, ¡and ¡other ¡content ¡in ¡spam. ¡ • Only ¡considers ¡spam ¡observed ¡by ¡a ¡single ¡ISP, ¡ could ¡be ¡more ¡effec5ve ¡with ¡collabora5on. ¡ • Intra-­‑message ¡Polymorphic ¡URLs ¡

  34. Extensions ¡ • Non-­‑botnet ¡RE ¡signatures ¡ • A ¡centralized/distributed ¡signature ¡repository ¡ (like ¡Spamhaus) ¡ • Forming ¡RE ¡signatures ¡over ¡non-­‑URL ¡content ¡ • Composite ¡signatures ¡based ¡on ¡mul5ple ¡ content ¡types ¡(URLs, ¡text, ¡images, ¡ a`achments, ¡etc.) ¡

  35. Ques5ons ¡? ¡

  36. References ¡ [1]“62445.jpg ¡(JPEG ¡Image, ¡542 ¡× ¡330 ¡pixels).” ¡[Online]. ¡Available: ¡h`p:// • www.cisco.com/en/US/i/ 000001-­‑100000/60001-­‑65000/62001-­‑63000/62445.jpg. ¡[Accessed: ¡16-­‑ Apr-­‑2012]. ¡ [2]“botnet1.jpg ¡(JPEG ¡Image, ¡589 ¡× ¡584 ¡pixels) ¡-­‑ ¡Scaled ¡(94%).” ¡[Online]. ¡ • Available: ¡h`p://ritcyberselfdefense.files.wordpress.com/2011/09/ botnet1.jpg. ¡[Accessed: ¡15-­‑Apr-­‑2012]. ¡ [3]“spam-­‑can-­‑collec5on-­‑2009-­‑09-­‑med.jpg ¡(JPEG ¡Image, ¡1582 ¡× ¡1070 ¡ • pixels) ¡-­‑ ¡Scaled ¡(51%).” ¡[Online]. ¡Available: ¡h`p://www.alaska.net/~royce/ spam/spam-­‑can-­‑collec5on-­‑2009-­‑09-­‑med.jpg. ¡[Accessed: ¡15-­‑Apr-­‑2012]. ¡ [4]“spam.jpg ¡(JPEG ¡Image, ¡990 ¡× ¡660 ¡pixels) ¡-­‑ ¡Scaled ¡(83%).” ¡[Online]. ¡ • Available: ¡h`p://owni.fr/files/2010/05/spam.jpg. ¡[Accessed: ¡15-­‑ Apr-­‑2012]. ¡ [5] ¡Y. ¡Xie, ¡F. ¡Yu, ¡K. ¡Achan, ¡R. ¡Panigrahy, ¡G. ¡Hulten, ¡and ¡I. ¡Osipkov, ¡ • “Spamming ¡botnets: ¡signatures ¡and ¡characteris5cs,” ¡SIGCOMM ¡Comput. ¡ Commun. ¡Rev., ¡vol. ¡38, ¡no. ¡4, ¡pp. ¡171–182, ¡Aug. ¡2008. ¡ ¡

Recommend

Spamming Botnets: Signatures and Characteristics

Spamming Botnets: Signatures and Characteristics

Spamming Botnets: Signatures and Characteristics

396 views • 18 slides
Botnets: a Growing Threat Increasing awareness, but there is a dearth of hard facts especially

Botnets: a Growing Threat Increasing awareness, but there is a dearth of hard facts especially

Studying Spamming Botnets Using BotLab Arvind Krishnamurthy Joint work with: John John, Alex Moshchuk, Steve Gribble University of Washington Botnets: a Growing Threat Increasing awareness, but there is a dearth of hard facts especially

291 views • 15 slides
BotNets BotNets- Cybe Cyber T r Torrirism orrirism Ba Batt ttling ling th the t e thr

BotNets BotNets- Cybe Cyber T r Torrirism orrirism Ba Batt ttling ling th the t e thr

BotNets BotNets- Cybe Cyber T r Torrirism orrirism Ba Batt ttling ling th the t e thr hrea eats ts of inte of intern rnet et Assoc. Prof. Dr. Sureswaran Ramadass National Advanced IPv6 Center - Director Why Talk About Botnets?

722 views • 35 slides
BotGraph: Large Scale Spamming Botnet Detection Web-account abuse attack recent spamming technic

BotGraph: Large Scale Spamming Botnet Detection Web-account abuse attack recent spamming technic

BotGraph: Large Scale Spamming Botnet Detection Web-account abuse attack recent spamming technic New different approche for sending spam Basing on reputation of email providers Difficult to detect signup detection monitoring users' activity

157 views • 15 slides
Botnets CS 598: Advanced Internet Presented by: Imranul Hoque How to Study Botnets? Passive

Botnets CS 598: Advanced Internet Presented by: Imranul Hoque How to Study Botnets? Passive

Botnets CS 598: Advanced Internet Presented by: Imranul Hoque How to Study Botnets? Passive analysis Study spam e-mail, DNS queries by bot-infected machines, DNS blacklists, analyze network traffic, etc. Infiltration Todays

686 views • 15 slides
Signatures Lecture 22 Signatures Signatures Signatures with various functionality/properties

Signatures Lecture 22 Signatures Signatures Signatures with various functionality/properties

Signatures Lecture 22 Signatures Signatures Signatures with various functionality/properties Signatures Signatures with various functionality/properties Constructions come in different flavors (well sample each flavor): Signatures

1.55k views • 131 slides
Jeffrey D. Ullman Stanford University Spamming = any deliberate action intended solely to

Jeffrey D. Ullman Stanford University Spamming = any deliberate action intended solely to

Jeffrey D. Ullman Stanford University Spamming = any deliberate action intended solely to boost a Web pages position in search- engine results. Web Spam = Web pages that are the result of spamming. SEO industry might disagree!

907 views • 44 slides
NECST laboratory BOTNETS FUNDING ETC. . @syssecproject SysSec Project:

NECST laboratory BOTNETS FUNDING ETC. . @syssecproject SysSec Project:

PHOENIX &amp; CERBERUS We haz botnets! #Honeynet2014 Stefano Schiavoni, Edoardo Colombo Federico Maggi Lorenzo Cavallaro Stefano Zanero Politecnico Di Milano &amp; Royal Hollway, University of London NECST laboratory BOTNETS FUNDING ETC.

1.28k views • 107 slides
Digital Signatures Digital Signatures And Putting It All Together Digital Signatures And

Digital Signatures Digital Signatures And Putting It All Together Digital Signatures And

Digital Signatures Digital Signatures And Putting It All Together Digital Signatures And Putting It All Together Lecture 12 Digital Signatures Digital Signatures Syntax: KeyGen, Sign SK and Verify VK . Security: Same experiment as MAC s,

1.72k views • 142 slides
BOTNETS GRAD SEC NOV 21 2017 TODAYS PAPERS BOTNETS Collection of compromised machines

BOTNETS GRAD SEC NOV 21 2017 TODAYS PAPERS BOTNETS Collection of compromised machines

BOTNETS GRAD SEC NOV 21 2017 TODAYS PAPERS BOTNETS Collection of compromised machines (bots) under unified control of an attacker (botmaster) Method of compromise decoupled from method of control Launch a worm/virus, etc.:

790 views • 16 slides
Detecting Botnets with Temporal Persistence Jaideep Chandrashekar Frederic

Detecting Botnets with Temporal Persistence Jaideep Chandrashekar Frederic

Detecting Botnets with Temporal Persistence Jaideep Chandrashekar Frederic Giroire Nina Taft Eve Schooler Mascotte project I3S (CNRS, Univ. of Nice) Intel Labs INRIA Sophia Antipolis Botnets: Why care? Botnet

888 views • 46 slides
Construction of Universal Designated-Verifier Signatures and Identity-Based Signatures from

Construction of Universal Designated-Verifier Signatures and Identity-Based Signatures from

Motivation Research Question Results Conclusion Notes Construction of Universal Designated-Verifier Signatures and Identity-Based Signatures from Standard Signatures Siamak Shahandashti 1 Rei Safavi-Naini 2 1 SCSSE &amp; CCISR, Uni

465 views • 46 slides
1 Arbitrated Digital Signatures Digital Signature Standard (DSS) US Govt approved signature

1 Arbitrated Digital Signatures Digital Signature Standard (DSS) US Govt approved signature

CPE 542: CRYPTOGRAPHY &amp; NETWORK SECURITY Digital Signatures have looked at message authentication but does not address issues of lack of trust Chapter 13 Digital Signatures digital signatures provide the ability to:

361 views • 3 slides
Bot BotNets Nets- Cy Cyber ber To Torr rriris irism Battling Battling the the threats

Bot BotNets Nets- Cy Cyber ber To Torr rriris irism Battling Battling the the threats

Bot BotNets Nets- Cy Cyber ber To Torr rriris irism Battling Battling the the threats threats of of interne internet Assoc. Prof. Dr. Sureswaran Ramadass National Advanced IPv6 Center - Director Why Talk About Botnets? Because Bot

379 views • 27 slides
Efficient Unlinkable Sanitizable Signatures from Signatures with Re-Randomizable Keys Nils

Efficient Unlinkable Sanitizable Signatures from Signatures with Re-Randomizable Keys Nils

Efficient Unlinkable Sanitizable Signatures from Signatures with Re-Randomizable Keys Nils Fleischhacker Johannes Krupp Giulio Malavolta Jonas Schneider Dominique Schr oder Mark Simkin March 7, 2016 Sanitizable Signatures

577 views • 46 slides
DiffusionRank: A Possible Penicillin for Web Spamming Haixuan Yang, Irwin King, and Michael R.

DiffusionRank: A Possible Penicillin for Web Spamming Haixuan Yang, Irwin King, and Michael R.

Introduction Related Work DiffusionRank Experiments Conclusion DiffusionRank: A Possible Penicillin for Web Spamming Haixuan Yang, Irwin King, and Michael R. Lyu Department of Computer Science &amp; Engineering The Chinese University of

1.18k views • 71 slides
Botnets Secret Puppetry With Computers Balaji Prasad T.K ( bpt@email.arizona.edu ) Nupur

Botnets Secret Puppetry With Computers Balaji Prasad T.K ( bpt@email.arizona.edu ) Nupur

Botnets Secret Puppetry With Computers Balaji Prasad T.K ( bpt@email.arizona.edu ) Nupur Maheshwari ( nupurm@email.arizona.edu ) Department of Computer Science University of Arizona April 22, 2012 What are Botnets? 1 Technical Overview 2

895 views • 37 slides
Lecture 12 Digital Signatures from one-way functions Signatures vs. MACs Signatures MAC s

Lecture 12 Digital Signatures from one-way functions Signatures vs. MACs Signatures MAC s

Lecture 12 Digital Signatures from one-way functions Signatures vs. MACs Signatures MAC s users require only secretkeys users require n 2 secretkeys Privately verifiable and non-transferable Same signature

764 views • 53 slides
Leptophilic Higgs Leptophilic Higgs Signatures at the LHC Signatures at the LHC (And the

Leptophilic Higgs Leptophilic Higgs Signatures at the LHC Signatures at the LHC (And the

Leptophilic Higgs Leptophilic Higgs Signatures at the LHC Signatures at the LHC (And the Importance of Leptonic Decays for Higgs Discovery) Brooks Thomas (The University of Arizona) Shufang Su &amp; BT [arXiv:0903.0667] What do we know about

375 views • 26 slides
Identifying Infections with Spamming Malware in a Network, based on Analysis of DNS MX Requests

Identifying Infections with Spamming Malware in a Network, based on Analysis of DNS MX Requests

Introduction Research Question Background Dataset Approach Results Conclusion Identifying Infections with Spamming Malware in a Network, based on Analysis of DNS MX Requests Bas Vlaszaty Bas.Vlaszaty@os3.nl Universiteit van Amsterdam

899 views • 89 slides
Digital Signatures Dennis Hofheinz (slides based on slides by Bjrn Kaidel) Digital Signatures

Digital Signatures Dennis Hofheinz (slides based on slides by Bjrn Kaidel) Digital Signatures

Digital Signatures Dennis Hofheinz (slides based on slides by Bjrn Kaidel) Digital Signatures 2020-02-25 1 Outline Recap: security experiments Message space extension One-time signatures One-time signatures from one-way functions Digital

1.07k views • 48 slides
Proving tight security for Rabin-Williams signatures D. J. Bernstein Public-key signatures 1976

Proving tight security for Rabin-Williams signatures D. J. Bernstein Public-key signatures 1976

Proving tight security for Rabin-Williams signatures D. J. Bernstein Public-key signatures 1976 Diffie Hellman: Public-key signatures would allow verification by anyone, not just signer. Cool! Can we build a signature system? 1977 Rivest

743 views • 33 slides
Digital Signatures Dennis Hofheinz (slides based on slides by Bjrn Kaidel) Digital Signatures

Digital Signatures Dennis Hofheinz (slides based on slides by Bjrn Kaidel) Digital Signatures

Digital Signatures Dennis Hofheinz (slides based on slides by Bjrn Kaidel) Digital Signatures 2020-03-03 1 Outline Why assumptions? Efficient one-time signatures Digital Signatures 2020-03-03 2 Recap: Lamport EUF-1-CMA secure

1.14k views • 37 slides
BotGraph: Large Scale Spamming Botnet Detec5on Yao Zhao Yinglian Xie * , Fang Yu * , Qifa Ke * ,

BotGraph: Large Scale Spamming Botnet Detec5on Yao Zhao Yinglian Xie * , Fang Yu * , Qifa Ke * ,

BotGraph: Large Scale Spamming Botnet Detec5on Yao Zhao Yinglian Xie * , Fang Yu * , Qifa Ke * , Yuan Yu * , Yan Chen and Eliot Gillum EECS Department, Northwestern University MicrosoK Research Silicon Valley * MicrosoK Coopera5on 1

923 views • 26 slides

More recommend