Brug af dybe neurale netværk til at jage ondsindede TLS -certifikater

Et team af forskere ved Cyxtera Technologies har for nylig foreslået en neural netværksbaseret metode til at identificere ondsindet brug af webcertifikater. Deres tilgang, beskrevet i et papir udgivet i ACM Digital Library , bruger indholdet af transportlagsikkerhedscertifikater (TLS) til at identificere legitime certifikater, samt ondsindede mønstre, der bruges af angribere.

Kryptering er en stadig mere populær måde at sikre kommunikation og udveksling af data online, så de ikke kan opfanges og tilgås af tredjeparter. På trods af sine mange fordele, kryptering giver også cyberkriminelle mulighed for at skjule deres beskeder og undgå opdagelse, når de udfører malware -angreb.

I øvrigt, kryptering kan give onlinebrugere en falsk følelse af sikkerhed, da mange webbrowsere viser et grønt låsesymbol, når forbindelsen til et websted er krypteret, selv når disse websteder rent faktisk udfører phishing -angreb. For at løse disse udfordringer, forskere undersøger nye måder at opdage og reagere på ondsindet onlinetrafik.

"Vi ser en stigning i sofistikeringen af ​​phishing -angreb i løbet af de sidste 12 måneder, "Alejandro Correa Bahnsen, en af ​​forskerne, der gennemførte undersøgelsen, fortalte TechXplore. "I særdeleshed, angribere begyndte at bruge webcertifikater for at få slutbrugerne til at tro, at de går ind på et sikkert websted. "

Da der i øjeblikket ikke er nogen måde at opdage TLS -certifikater i naturen, forskerne udviklede en ny metode til at identificere ondsindet brug af webcertifikater, ved hjælp af dybe neurale netværk. I det væsentlige, deres system bruger indholdet af TLS -certifikater til med succes at identificere legitime og ondsindede certifikater.

"Angribernes brug af webcertifikater øger effektiviteten af ​​deres angreb, men samtidig, det efterlader flere spor af deres handlinger, "Sagde Bahnsen." Med disse yderligere datapunkter, Vi skabte et dybt neuralt netværk for at finde skjulte ondsindede mønstre i webcertifikater og bruge dem til at forudsige legitimiteten af ​​et websted. "

Bahnsen og hans kolleger evaluerede deres nye metode og sammenlignede den med en eksisterende model, nemlig Splunk's support vector machines (SVM) algoritme. Deres dybe neurale netværk brugte tekstoplysningerne i certifikatet mere effektivt end SVM, identificering af malware -certifikater med en nøjagtighed på 94,87 procent (7 procent mere end SVM) og phishing -certifikater med en nøjagtighed på 88,64 procent (5 procent mere end SVM).

"Ved hjælp af denne metode, vi var i stand til at opdage tidligere uopdagede phishing -websteder, "Sagde Bahnsen." Faktisk, dybe neurale netværk viser potentialet til at afbøde nye strategier, som angribere anvender ved hurtigt at kunne afdække tidligere usynlige ondsindede mønstre. "

Undersøgelsen udført af Bahnsen og hans kolleger giver vigtig indsigt i potentialet i dybe neurale netværk til påvisning af malware og phishing -certifikater. I fremtiden, deres arbejde kan hjælpe udviklingen af ​​mere effektive værktøjer til at beskytte brugerne mod de nyeste strategier, som angribere anvender.

"Vi vil nu dele denne forskning med samfundet via open source, "Dette sagde Bahnsen." Dette skulle hjælpe forskere med at udvikle den næste generation af forsvar og bekæmpe svigagtige aktiviteter. "

© 2018 Science X Network