MAGMA network behavior classifier for malware traffic

Tipo di pubblicazione: Articolo su rivista
Tipologia MIUR: Contributo su Rivista > Articolo in rivista
Titolo: MAGMA network behavior classifier for malware traffic
Autori: Bocchi, Enrico; Grimaudo, Luigi; Mellia, Marco; Baralis, Elena; Saha, Sabyasachi; Miskovic, Stanislav; Modelo-Howard, Gaspar; Lee, Sung-Ju
Autori di ateneo:
Titolo del periodico: COMPUTER NETWORKS
Tipo di referee: Esperti anonimi
Editore: Elsevier
Volume: 109
Intervallo pagine: pp. 142-156
Numero di pagine: 15
ISSN: 1389-1286
Abstract: Malware is a major threat to security and privacy of network users. A large variety of malware is typically spread over the Internet, hiding in benign traffic. New types of malware appear every day, challenging both the research community and security companies to improve malware identification techniques. In this paper we present MAGMA, MultilAyer Graphs for MAlware detection, a novel malware behavioral classifier. Our system is based on a Big Data methodology, driven by real-world data obtained from traffic traces collected in an operational network. The methodology we propose automatically extracts patterns related to a specific input event, i.e., a seed, from the enormous amount of events the network carries. By correlating such activities over (i) time, (ii) space, and (iii) network protocols, we build a Network Connectivity Graph that captures the overall "network behavior" of the seed. We next extract features from the Connectivity Graph and design a supervised classifier. We run MAGMA on a large dataset collected from a commercial Internet Provider where 20,000 Internet users generated more than 330 million events. Only 42,000 are flagged as malicious by a commercial IDS, which we consider as an oracle. Using this dataset, we experimentally evaluate MAGMA accuracy and robustness to parameter settings. Results indicate that MAGMA reaches 95% accuracy, with limited false positives. Furthermore, MAGMA proves able to identify suspicious network events that the IDS ignored
Data: 2016
Status: Pubblicato
Lingua della pubblicazione: Inglese
Parole chiave: automatic classification, graph networks, malicious behaviors detection, malware characterization, network traffic modeling, computer networks and communications
Dipartimenti (originale): DAUIN - Dipartimento di Automatica Informatica
DET - Dipartimento di Elettronica e Telecomunicazioni
Dipartimenti: DET - Dipartimento di Elettronica e Telecomunicazioni
DAUIN - Dipartimento di Automatica e Informatica
URL correlate:
Area disciplinare: Area 09 - Ingegneria industriale e dell'informazione > TELECOMUNICAZIONI
Area 09 - Ingegneria industriale e dell'informazione > SISTEMI DI ELABORAZIONE DELLE INFORMAZIONI
Data di deposito: 04 Nov 2016 10:53
Data ultima modifica (IRIS): 05 Nov 2016 09:01:47
Data inserimento (PORTO): 09 Nov 2016 09:57
Numero Identificativo (DOI): 10.1016/j.comnet.2016.03.021
Permalink: http://porto.polito.it/id/eprint/2655007
Link resolver URL: Link resolver link
Citazioni:

Il campo presenta il numero di citazioni presenti sulle banche dati Scopus e Web of Science e permette di accedere ai relativi record. Visualizza inoltre il link al record presente su Google Scholar.

Possono verificarsi discrepanze rispetto ai dati presenti sulle banche dati per i seguenti motivi:

  • Differenze tra i dati riportati su IRIS e quelli presenti nelle banche dati.
  • Il numero di citazioni riportate su PORTO viene estratto mensilmente. Il dato citazionale presente sulle singole banche dati è aggiornato in tempo reale
  • Il numero di citazioni per WoS viene calcolato sulla base delle collezioni in abbonamento (Science citation index Expanded e Conference Proceedings Citation Index)

Per informazioni o segnalazioni contattare scrivia/porto

+
-

Allegati

[img] PDF (1_s2.0_S1389128616300949_main.pdf) - Postprint
Accesso al documento: Non visibile (accessibile solo al proprietario del dato)
Licenza: Non pubblico - Accesso privato / Ristretto.

Download (4Mb (4204823 bytes)) | Spedisci una richiesta all'autore per una copia del documento
[img] PDF (ComnetMAGMA16.pdf) - Postprint
Accesso al documento: Visibile (Ad accesso aperto) non prima del 6 Aprile 2018 (data di embargo).
Licenza: Creative Commons Attribution Non-commercial No Derivatives.

Download (3043Kb (3116430 bytes)) | Spedisci una richiesta all'autore per una copia del documento

Azioni (richiesto il login)

Visualizza il documento (riservato amministratori) Visualizza il documento (riservato amministratori)