Botnet op het spoor met oude statistische methode

zombiesDoor al die verhalen over veiligheidsdiensten die je telefoon en computer binnendringen zou je licht paranoïde kunnen worden en vervolgens in lethargie ten onder gaan. Er is toch niks aan te doen door een eenvoudige kluns als ik, zo’n gedachte. Ach, er is altijd hulp in de buurt en het zou wel eens allemaal niet zo geavanceerd hoeven zijn als wordt voorgespiegeld. Er is net een verhaal verschenen in het blad  the International Journal of Electronic Security and Digital Forensics van R. Anitha en medewerkers van het PSG-College of Technology in Coimbatore (India), dat met een oud statistisch hulpmiddel, de ‘vijand’ (het botnet) eenvoudig is op te sporen.
Miljoenen computers zijn besmet met kwaadaardige programmatuur (malwaar). Daarmee kunnen derden zich ongevraagd toegang verschaffen tot die computers of die gebruiken in een botnet (een netwerk van besmette en overgenomen computers) voor eigen kwaadaardige doeleinden zoals een massa-aanval. Beschermingsprogramma’s, bedoeld om dit soort ongerief voor te zijn, meten de webactiviteit en komen zo malwaar op het spoor, maar de tegenstander wordt ook steeds beter en bijdehanter.
Nu hebben Anitha en zijn collega’s een oud statistisch hulpmiddel van stal gehaald om de strijd met de botnets aan te gaan: het zogeheten verborgen half-Markov-model. Dat model gebruikten ze om een programma te ontwikkelen waarmee de botnets kunnen worden opgespoord. In de waarschijnlijkheidsleer is een Markov-proces een proces waarbij je voorspellingen kunt doen hoe zich dat ontwikkelt zonder dat je de hele geschiedenis van dat proces kent. Een verborgen Markov-model gaat dan om een proces met variabelen waar de waarnemer geen zicht op heeft maar die hij kan afleiden en zo een voorspelling kan doen. Zo’n verborgen Markov-proces is een voorspelling te doen of een mooi-weer-wandelaar op een bepaalde dag ook daadwerkelijk gewandeld heeft zonder het weer van die dag te weten. Een verborgen half-Markov-proces is iets soortgelijks, waarbij de verstreken tijd de voorspelling beïnvloedt. Dat kan zijn het voorspellen van het regenpatroon op basis van de laatste keer dat de mooi-weer-wandelaar ook daadwerkelijk heeft gewandeld. Het komt er dan dus op neer dat je over onbekende variabelen iets kan zeggen op basis van bekende variabelen.

De onderzoekers gebruikten deze logica om de internetactiviteit op een mogelijk besmette computer in een botnet te kunnen voorspellen. Met hun Markov-benadering kunnen de onderzoekers het ‘normale’ gedrag modelleren en vervolgens de afwijkingen aanmerken als botnet-activiteit, zonder zicht te hebben  op de specifieke variabelen die zijn veranderd door de malwaar. De onderzoekers merken op dat de botnet- en malwaarontwikkelaars zich steeds meer richten op webactiviteit waar hun ongerief makkelijker is te verdoezelen tussen al die datapakketjes van een netwerk die een computer in en uit gaan. De onderzoekers vonden dat hun aanpak in een klein zombienetwerk, een zombie is een willoos slachtoffer (=besmette computer), makkelijk door die vermomming heen prikt. Ze zijn er dan ook van overtuigd dat met hun botnetzoekprogrammatuur de kwaadaardige bots geen kans meer zullen hebben. De webboeven (en andere onverlaten) krijgen het nog moeilijk.

Bron: Eurekalert

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.