Een team van onderzoekers van Cyxtera Technologies heeft onlangs een op neurale netwerken gebaseerde methode voorgesteld voor het identificeren van kwaadaardig gebruik van webcertificaten. Hun aanpak, geschetst in een paper gepubliceerd in ACM Digitale Bibliotheek , gebruikt de inhoud van TLS-certificaten (Transport Layer Security) om legitieme certificaten te identificeren, evenals kwaadaardige patronen die door aanvallers worden gebruikt.

Versleuteling is een steeds populairdere manier om communicatie en uitwisseling van gegevens online te beveiligen, zodat deze niet kunnen worden onderschept en niet door derden kunnen worden geopend. Ondanks de vele voordelen, encryptie stelt cybercriminelen ook in staat hun berichten te verbergen en detectie te vermijden bij het uitvoeren van malware-aanvallen.

Bovendien, encryptie kan online gebruikers een vals gevoel van veiligheid geven, omdat veel webbrowsers een groen slotsymbool weergeven wanneer de verbinding met een website is gecodeerd, zelfs wanneer deze websites daadwerkelijk phishing-aanvallen uitvoeren. Om deze uitdagingen aan te gaan, onderzoekers onderzoeken nieuwe manieren om kwaadaardig online verkeer te detecteren en erop te reageren.

"We zien een toename van de verfijning van phishing-aanvallen in de afgelopen 12 maanden, "Alejandro Correa Bahnsen, een van de onderzoekers die het onderzoek heeft uitgevoerd, vertelde TechXplore. "Vooral, aanvallers begonnen webcertificaten te gebruiken om eindgebruikers te laten geloven dat ze een beveiligde website betreden."

Aangezien er momenteel geen manier is om TLS-certificaten in het wild te detecteren, ontwikkelden de onderzoekers een nieuwe methode om het kwaadwillig gebruik van webcertificaten te identificeren, met behulp van diepe neurale netwerken. Eigenlijk, hun systeem gebruikt de inhoud van TLS-certificaten om legitieme en kwaadaardige certificaten te identificeren.

"Het gebruik van webcertificaten door aanvallers verhoogt de efficiëntie van hun aanvallen, maar op het zelfde moment, het laat meer sporen achter van hun acties, " zei Bahnsen. "Met deze extra datapunten, we hebben een diep neuraal netwerk gecreëerd om verborgen kwaadaardige patronen in webcertificaten te vinden en deze te gebruiken om de legitimiteit van een website te voorspellen."

Bahnsen en zijn collega's evalueerden hun nieuwe methode en vergeleken deze met een bestaand model, namelijk Splunk's support vector machines (SVM) algoritme. Hun diepe neurale netwerk gebruikte de tekstinformatie in het certificaat effectiever dan SVM, het identificeren van malwarecertificaten met een nauwkeurigheid van 94,87 procent (7 procent meer dan SVM) en phishing-certificaten met een nauwkeurigheid van 88,64 procent (5 procent meer dan SVM).

"Met deze methodiek we konden voorheen onopgemerkte phishing-websites detecteren, "Zei Bahnsen. "In feite, diepe neurale netwerken tonen het potentieel om nieuwe strategieën die door aanvallers worden ingezet, te verminderen door snel voorheen onzichtbare kwaadaardige patronen te ontdekken."

Het onderzoek van Bahnsen en zijn collega's geeft een belangrijk inzicht in het potentieel van diepe neurale netwerken voor de detectie van malware en phishing-certificaten. In de toekomst, hun werk zou kunnen helpen bij de ontwikkeling van effectievere tools om gebruikers te beschermen tegen de nieuwste strategieën die door aanvallers worden gebruikt.

"We gaan dit onderzoek nu via open source delen met de gemeenschap, "Zei Bahnsen. "Dit zou onderzoekers moeten helpen om de volgende generatie verdedigingsmechanismen te ontwikkelen en frauduleuze activiteiten te bestrijden."

© 2018 Wetenschap X Netwerk