Architettura collaborativa per la rilevazione e l'analisi di malware

Architettura collaborativa per la rilevazione e l'analisi di malware

Saverio Verrascina;
Daniele Gozzi;
Mirco Marchetti;

*Student*

Scarica le slide dell'intervento

Il continuo aumento nel numero e nella pericolosità di worm e di altro malware autoreplicante in Internet rappresenta per sé una chiara dimostrazione dell'inefficacia delle misure di sicurezza comunemente adottate. Infatti, le contromisure necessarie per impedire la diffusione di malware vengono normalmente adottate solo dopo aver contratto un'infezione, volte con notevole ritardo. In questo articolo proponiamo una architettura distribuita per l'analisi del malware diffusione delle informazioni ricavate basata sulla presenza di molteplici sensori installati in reti cooperanti. L'utilizzo di sensori distribuiti geograficamente in reti eterogenee consente di abbassare notevolmente i tempi di rilevazione malware, permettendo quindi di catturare un esemplare del malware e di effettuarne l'analisi non appena una delle cooperanti rilevi un tentativo di infezione. Inoltre, le informazioni rilevati, determinate in seguito all'analisi di esemplari di malware realmente circolanti in rete, vengono inviate a tutte le reti cooperanti, anche a quelle che non sono ancora state raggiunte dal malware, favorendo la creazione di contromisure preventive. Le problematiche relative trasferimento di informazioni sensibili tra reti eterogenee sono state risolte adottando comunicazioni cifrate e autenticazione tra tutti i componenti dell'architettura. La fattibilità della soluzione proposta è infine dimostrata mediante un prototipo completo e funzionante, realizzato utilizzando software Open Source e validato sperimentalmente.