Berrueta Irigoyen, Eduardo

Profile Picture

Email Address

person.page.identifierURI

https://academica-e.unavarra.es/handle/2454/48721

Birth Date

Job Title

Last Name

Berrueta Irigoyen

First Name

Eduardo

person.page.departamento

IngenierĆ­a ElĆ©ctrica, ElectrĆ³nica y de ComunicaciĆ³n

person.page.instituteName

ORCID

0000-0002-0076-4479

person.page.observainves

88888

person.page.upna

811478

Name

Filters

20222
Reset filters

Settings

End date: 2022 Ɨ Subject: Crypto-ransomware Ɨ

Search Results

Now showing 1 - 2 of 2
  • Thumbnail Image
    PublicationOpen Access
    Desarrollo y anĆ”lisis de modelos de detecciĆ³n de crypto-ransomware en base a trĆ”fico de comparticiĆ³n de ficheros
    (2022) Berrueta Irigoyen, Eduardo; MoratĆ³ OsĆ©s, Daniel; IngenierĆ­a ElĆ©ctrica, ElectrĆ³nica y de ComunicaciĆ³n; Ingeniaritza Elektrikoa, Elektronikoaren eta Telekomunikazio Ingeniaritzaren
    Hoy en dĆ­a la informaciĆ³n se ha convertido en un bien muy preciado tanto para los usuarios como para las empresas. Desde el aƱo 2015 han cobrado importancia los ataques dirigidos a secuestrar esta informaciĆ³n y pedir un rescate econĆ³mico para su recuperaciĆ³n. Son los llamados 'crypto-ransomware'. Durante la realizaciĆ³n de este trabajo se han analizado mĆ”s de 90 variantes distintas de ransomware, tratando de establecer patrones de comportamiento comunes para poder detectar la infecciĆ³n de un usuario. Aunque afectan por igual a usuarios particulares y a empresas, son estas Ćŗltimas las mĆ”s perjudicadas por la infecciĆ³n, ya que habitualmente tiene un coste econĆ³mico muy elevado debido a la paralizaciĆ³n de su actividad. AdemĆ”s, sus archivos de datos estĆ”n alojados en servidores centrales a los que tienen acceso todos los trabajadores. Un Ćŗnico usuario infectado puede provocar enormes pĆ©rdidas de informaciĆ³n muy valiosa para la empresa. En esta tesis nos centramos en este tipo de escenarios en que la informaciĆ³n se aloja en servidores centrales a los que acceden los usuarios desde sus mĆ”quinas. La estrategia que se ha seguido para la detecciĆ³n ha sido capturar en un punto intermedio el trĆ”fico intercambiado por usuarios y servidores y analizarlo en busca de patrones conocidos de trĆ”fico de ransomware. En un primer trabajo se desarrollĆ³ una herramienta basada en el tipo de operaciĆ³n que realiza cada usuario sobre los archivos del servidor, siendo necesario el anĆ”lisis de cada mensaje del protocolo de comparticiĆ³n de ficheros. Se lograron unos resultados de detecciĆ³n del 100% de los binarios estudiados con una tasa de falsos positivos muy baja (1 cada 15 dĆ­as en redes con 300 usuarios). Sin embargo, la principal limitaciĆ³n es que no es eficaz en los casos en que el protocolo de comparticiĆ³n de ficheros vaya cifrado en la red, lo cual es habitual en versiones modernas. Para superar esta limitaciĆ³n se desarrolla otro modelo, basado ya en patrones de trĆ”fico en lugar de en el tipo de operaciones que ejecutan los usuarios. Para establecer patrones entre las caracterĆ­sticas se comparan varios modelos de machine learning y deep learning analizando sus resultados y escogiendo el que mejor se adapta a nuestro escenario. Una vez seleccionado el modelo, se analiza cronolĆ³gicamente la evoluciĆ³n del mismo como si hubiera sido empleado en un entorno real y entrenado con las variantes de ransomware aparecidas desde 2015 hasta 2021. Se presentan los resultados y extraen conclusiones sobre la necesidad de mantener un entrenamiento constante del modelo para mejorar la eficiencia de la detecciĆ³n. Como consecuencia del estudio del comportamiento de los mĆ”s de 90 binarios, se han publicado en un repositorio de acceso abierto las trazas de trĆ”fico objeto del estudio, asĆ­ como la secuencia de operaciones llevadas a cabo por los ransomware sobre los ficheros alojados en el servidor.
  • Thumbnail Image
    PublicationOpen Access
    Crypto-ransomware detection using machine learning models in file-sharing network scenarios with encrypted traffic
    (Elsevier, 2022) Berrueta Irigoyen, Eduardo; MoratĆ³ OsĆ©s, Daniel; MagaƱa Lizarrondo, Eduardo; Izal AzcĆ”rate, Mikel; IngenierĆ­a ElĆ©ctrica, ElectrĆ³nica y de ComunicaciĆ³n; Ingeniaritza Elektrikoa, Elektronikoaren eta Telekomunikazio Ingeniaritzaren; Universidad PĆŗblica de Navarra / Nafarroako Unibertsitate Publikoa
    Ransomware is considered as a significant threat for home users and enterprises. In corporate scenarios, usersā€™ computers usually store only system and program files, while all the documents are accessed from shared servers. In these scenarios, one crypto-ransomware infected host is capable of locking the access to all shared files it has access to, which can be the whole set of files from a workgroup of users. We propose a tool to detect and block crypto-ransomware activity based on file-sharing traffic analysis. The tool monitors the traffic exchanged between the clients and the file servers and using machine learning techniques it searches for patterns in the traffic that betray ransomware actions while reading and overwriting files. This is the first proposal designed to work not only for clear text protocols but also for encrypted file-sharing protocols. We extract features from network traffic that describe the activity opening, closing, and modifying files. The features allow the differentiation between ransomware activity and high activity from benign applications. We train and test the detection model using a large set of more than 70 ransomware binaries from 33 different strains and more than 2,400 h of ā€˜not infectedā€™ traffic from real users. The results reveal that the proposed tool can detect all ransomware binaries described, including those not used in the training phase. This paper provides a validation of the algorithm by studying the false positive rate and the amount of information from user files that the ransomware could encrypt before being detected