Algoritmo de detección de ransomwares mediante tráfico SMB en redes con directorios compartidos (REDFISH)
Fecha
2018Director
Versión
Acceso abierto / Sarbide irekia
Tipo
Trabajo Fin de Máster/Master Amaierako Lana
Impacto
|
nodoi-noplumx
|
Resumen
Este trabajo presenta una solución para detectar una infección por ransomware en un
equipo de una red local con directorios compartidos por SMB en uno o varios servidores.
Se basa en el análisis de tráfico de las versiones 1 y 2 de este protocolo, en la cantidad
de bytes leídos y escritos y en las eliminaciones que haga el usuario en ficheros del
servidor. Deben establecerse tres parámetros q ...
[++]
Este trabajo presenta una solución para detectar una infección por ransomware en un
equipo de una red local con directorios compartidos por SMB en uno o varios servidores.
Se basa en el análisis de tráfico de las versiones 1 y 2 de este protocolo, en la cantidad
de bytes leídos y escritos y en las eliminaciones que haga el usuario en ficheros del
servidor. Deben establecerse tres parámetros que caracterizarán al algoritmo (N,
T y Vumbral), y que determinarán la cantidad de ficheros que encriptará el ransomware antes
de su detección. Aunque esos
N
ficheros van a ser encriptados en todos los casos en
que se detecte el ransomware, se ha desarrollado una herramienta de recuperación para
conseguir recuperar estos ficheros, de forma que podemos considerar la herramienta
como
sin pérdidas.
Los resultados son del 100 % de detección de ransomware con una probabilidad de
falso positivo menor del 1 % en la mayoría de los días testeados. Las pruebas se han
realizado con un total de 53 muestras distintas de ransomware de 18 familias diferentes,
corriendo en un entorno virtualizado. Los falsos positivos se han evaluado con muestras
de tráfico de usuario de 6 días laborables en la red local de la UPNA y 1 día completo
en otra red empresarial. [--]
This work presents a novel solution for detecting a ransomware infection of a com-
puter in a LAN network with one or more shared directories by SMB protocol. It is
based on the SMB traffic analysis, counting the read and written bytes by the user or
by the server and the deletion of shared files. Three main parameters must be set in
order to the algorithm to work properly (N, T and Vumbral), ...
[++]
This work presents a novel solution for detecting a ransomware infection of a com-
puter in a LAN network with one or more shared directories by SMB protocol. It is
based on the SMB traffic analysis, counting the read and written bytes by the user or
by the server and the deletion of shared files. Three main parameters must be set in
order to the algorithm to work properly (N, T and Vumbral), and they will determine
how many files will be encrypt by the ransomware until its detection. Although these
N
files must be encrypted in all detection cases, a file-recovery tool has been developed
in order to make the algorithm zero-losses.
It has been achieved 100% of detection with plenty low false positive rate (lower
than 1% in most of the days tested). The tests have been performed with 53 different
ransomware samples of 18 families, running in a virtualized environment. The false
positive rate has been evaluated using user traffic samples of 6 days in the local network
of the UPNA, and 1 complete day of other enterprise network. [--]
Materias
Ransomware,
Análisis de tráfico,
Seguridad,
Malware
Titulación
Máster Universitario en Ingeniería de Telecomunicación por la Universidad Pública de Navarra /
Nafarroako Unibertsitate Publikoko Unibertsitate Masterra Telekomunikazio Ingeniaritzan