Oscar Somarribaren tesi defentsa

Atzealdea

Oscar Somarribaren tesi defentsa

TESIA

Oscar Somarribaren tesi defentsa

Tesiaren izenburua: Dynamic monitoring of Android malware behavior: A DNS-based approach. NOTABLE kalifikazioa lortu du.

2019·07·09

$titulo.getData()


  • Tesiaren izenburua: Dynamic monitoring of Android malware behavior: A DNS-based approach.
  • Doktoretza programa: INGENIARITZA MEKANIKOAN ETA ENERGIA ELEKTRIKOAN DOKTOREGO PROGRAMA 
  • Tesi zuzendariak: Urko Zurutuza Ortega, Roberto Uribeetxeberria Ezpeleta
  • Epaimahaia:
    • Mahaiburua: Dr. D. Gabriel Maciá Fernández (Universidad de Granada)
    • Mahaikidea: Dr. D. Guillermo Suárez de Tangil (Kings College London)
    • Mahaikidea: Dr. D. Igor Armendariz Huici (Ikerlan, S. Coop.)
    • Mahaikidea: Dr. D. Borja Sanz Urquijo (Universidad de Deusto)
    • Idazkaria: Dr. D. Enaiz Ezpeleta  (Mondragon Unibertsitatea)

Laburpena

Goraka doan gailu mugikor adimendunen iraultza teknologikoak gailu horien erabilera zabala bultzatzen du. Gailu mugikorren erabiltzaileek ofizialak ez diren errepositorioetara edo hirugarrenenak direnetara jotzeko ohitura dute ordainpeko aplikazioak libreki instalatzeko, eta horrek segurtasun eta pribatutasun arazo asko eragiten ditu. Horrenbestez, Android telefonoak oso popular egiten diren heinean eta beren merkatu kuota handitzen duten heinean, telefono horiei eraso egiten dieten asmo txarreko aplikazioak ere esponentzialki hazten dira. Halere, malware mugikorrak detektatzeko eta analizatzeko egun dauden teknologiak oso mugatuak dira eta ez dute bat ere eraginkortasunik. Gailu mugikorren ezaugarri bereziak direla-eta, hala nola energi kontsumo txikia, ohiko PCen detekzio motorrek ezin dira exekutatu gailu adimendunean, eta horrek esan nahi du segurtasun mugikorrak erronka berriak dituela, bereziki exekutatzen den bitartean malwarea dinamikoki detektatzeari dagokionez. Ikuspegi hori inportaziokoa da, instrukzio edo infekzio asko gertatu baitaitezke aplikazio bat instalatu edo exekutatu ondoren. Alde batetik, berriki egindako azterlan batzuek frogatu dute gailu adimendunak sare mailan duen portaeran oinarritutako analisiak, non aplikazioek ere beraiek sortzen duten sareko trafikoa behatuz aztertu ahal izango liratekeen, bertan gertatzen diren asmo txarreko jarduerak antzematen uzten duela. Bestetik, erasotzaileak DNSren mende daude makina bezero konprometituen eta asmo txarreko azpiegituraren arteko komunikazio doigarri eta erresistente bat emateko.  Horrenbestez, DNS trafikoari buruzko informazio ugari edukitzea oso garrantzitsua da aplikazioetan portaera kaltegarria identifikatzeko; horren ondorioz, beraz, analisi dinamikoan urrats logikoa da DNSa malwarea antzemateko erabiltzea; izan ere, segurtasun informatikorako orain dagoen arrisku komuna da asmo txarreko URL bat. Horrenbestez, tesi honen helburu nagusia da bi ikuspegi konbinatzea eta korrelazionatzea: goitik beherako detekzioa DNSren sare mailako arrastoak erabiliz malware domeinuak identifikatuz eta behetik gorako detekzioa gailu mailan, hainbat aplikaziotan eskatutako URLak atzitzeko analisi dinamikoaren bitartez, malwarea identifikatzeko. Malwarea antzemateko eta bistaratzeko, Androiden APIetara egindako deien analisi dinamikoan oinarritutako sistema bat proposatu dugu. Horrek lagundu ditzake malwareen analistak aztertzen ari den aplikazioak egiten duena ikusiz ikuskatzen, asmo txarreko funtzio horiek erraz identifikatuz. Androiden malwarearen analisi dinamikorako, DNS monitorizazioan oinarritutako ikuspegi bat proposatzen dugu. Ikuspegiak bi zati ditu, hauek alegia: (i) bezeroaren alde bat, aztertzen ari diren eta gailu adimendunean exekutatzen diren aplikazioek eskatutako URLak harrapatu eta sailkatzen dituen (zerrenda beltzak erabiliz) software agente gisa diseinatu eta garatu dena (Android aplikazio bat), eta (ii) zerbitzari zentral bat, non i)-n harrapatutako URLak pilatzen eta sailkatzen diren ikasuntza automatikoko algoritmo baten bitartez eta antzemandako malwarerik ezagunenek egindako erasoak bistaratu daitezkeen. Gainera, aurkitu diren asmo txarreko URLak azpiegitura mugikorraren DNS zerbitzarien DNS erregistroetan bat datozen kate ereduak bilatzeko erabiltzen dira, infektatutako beste gailu batzuk identifikatzeko. Laburbilduta, DNSren analisi dinamikoan oinarritutako datu iturri heterogeneoen bilduma ugaritan asmo txarreko portaera mugikorra antzemateko erabil daitezkeen teknikak esploratu, diseinatu eta garatzen ditugu.