19 OFICINA ESPAÑOLA DE PATENTES Y MARCAS ESPAÑA 11 21 Número de publicación: 2 429 42 Número de solicitud: 1230142 1 Int. CI.: G06N 3/12 (06.01) 12 SOLICITUD DE PATENTE A2 22 Fecha de presentación: 31.01.12 43 Fecha de publicación de la solicitud: 14.11.13 71 Solicitantes: TELEFONICA, S.A. (0.0%) GRAN VIA, N.28 28013 MADRID ES 72 Inventor/es: SUÁREZ DE TANGIL, Guillermo y PALOMAR GONZÁLEZ, Esther 74 Agente/Representante: ARIZTI ACHA, Monica 4 Título: MÉTODO Y SISTEMA PARA DETECTAR SOFTWARE MALINTENCIONADO 7 Resumen: Método y sistema para detectar software malintencionado. En el método de la invención, dicha detección de software malintencionado, o malware, se realiza al menos aplicando reglas de correlación de eventos de seguridad a una red. Se caracteriza porque comprende: - capturar malware por medio de un colector de red trampa; - implantar una red virtual dedicada para cada malware capturado; - inferir información de correlación a partir de malware capturado y eventos recopilados a partir de la ejecución de dicho malware capturado en cada red virtual; y - generar reglas de correlación de eventos a partir de dicha información de correlación inferida por medio de técnicas de inteligencia artificial. El sistema está dispuesto para implementar el método de la invención. ES 2 429 42 A2
Método y sistema para detectar software malintencionado Campo de la técnica DESCRIPCIÓN La presente invención en general se refiere, en un primer aspecto, a un método para detectar software malintencionado, realizándose dicha detección de software malintencionado, o malware, al menos aplicando reglas de correlación de eventos de seguridad a una red y, más particularmente, a un método que comprende capturar malware por medio de un colector de red trampa, implantar una red virtual dedicada para cada malware capturado, inferir información de correlación a partir del malware capturado y eventos recopilados a partir de la ejecución de dicho malware capturado en cada red virtual y generar reglas de correlación de eventos a partir de dicha información de correlación inferida por medio de técnicas de inteligencia artificial. Un segundo aspecto de la invención se refiere a un sistema dispuesto para implementar el método del primer aspecto. Estado de la técnica anterior 1 2 30 3 40 4 0 La correlación de eventos de seguridad ha surgido como una potente herramienta de detección de intrusión para mejorar la comprensión del comportamiento de ataques complejos y así conseguir la reacción más rápida. Se ha demostrado que los sistemas de detección de intrusión (IDS) tradicionales, tal como Snort, padecen de una gestión abrumadora: aunque las recientes arquitecturas multihilo de Snort están muy optimizadas para las plataformas multinúcleo actuales, aún son necesarios muchos esfuerzos para romper los cuellos de botella provocados por los requisitos de rendimiento de la tasa de transmisión de llegada de paquetes de los IDS actuales [1]. Adicionalmente, los ataques (multietapa) distribuidos no sólo dejan rastro en un sistema centralizado (tal como el IDS de red mencionado anteriormente), sino también en muchas otras fuentes (conocidas como sensores), por ejemplo: IDS de host, servidores web, cortafuegos, y registros de DNS, por mencionar algunos. Por ejemplo, se han usado con éxito técnicas de correlación para detectar el diálogo de redes robot (botnets) [2] [3] [4]. Los sistemas de gestión de eventos e información de seguridad (SIEM) aparecen entonces para facilitar el análisis de eventos de seguridad por medio de su detección, almacenamiento, procesamiento, y correlación. Se diseñan sistemas SIEM para centralizar toda la información de seguridad generada por los sensores implantados en cualquier entorno de red. Una centralización de este tipo ayuda a (a) normalizar las alertas recopiladas en un formato común, (b) proporcionar un rápido acceso a datos de registro centralizados, (c) realizar un análisis eficaz de alertas dispersas, y también (d) generar alarmas de correlación siempre que detecte varios eventos potencialmente relacionados con una determinada actividad sospechosa. Por otro lado, se han aplicado diferentes técnicas de inteligencia artificial (IA) para optimizar la detección de intrusión especialmente dirigidas a tratar las desventajas mencionadas anteriormente []. En particular, se usan diversas técnicas de procesamiento basadas en IA para datos de seguridad de IDS como sistemas expertos [6], minería de datos [7], análisis estadístico [8], redes neuronales [9], aprendizaje automático [] [11], y sistemas inmune artificiales [12]. Sin embargo, sólo hay unas cuantas propuestas para el uso de técnicas de IA satisfactorias para optimizar la correlación de eventos de seguridad [13]. La inmensa mayoría de los trabajos presentados se topan con el mismo problema fundamental cuando se estudian los atributos relacionados con el evento y sus asociaciones en escenarios de ataque multietapa, es decir la clasificación previa del conocimiento antes de aplicar IA. Además, varias decisiones son cruciales cuando se introduce IA en sistemas SIEM, es decir o bien implantar un entorno controlado supervisado para entrenar ataques seleccionados previamente o bien aprender directamente de la actividad de red real. En este contexto, los señuelos (honeypots) son sistemas ampliamente conocidos usados para atrapar malware mediante descarga oculta (drive-by download) exponiendo un recurso vulnerable no protegido. Aparte de esto, los señuelos se monitorizan constantemente con el fin de estudiar el comportamiento del malware. Los señuelos se ubican habitualmente en el perímetro de una organización, habitualmente denominada zona desmilitarizada (DMZ). Algunos trabajos han usado rastreadores para estimular las actividades de los señuelos [47]. Dos o más señuelos forman una red trampa (honeynet) y, cuando se usan herramientas de análisis dentro de la red trampa, se denomina conjunto de redes trampa (honeyfarm). Recientemente, un nuevo concepto, concretamente telescopio de red, parece examinar mejor ataques a gran escala estudiando eventos multietapa producidos en Internet. Por ejemplo, muchos trabajos presentados hasta ahora desarrollan el análisis de malware automático en el extremo de host [14] [1] [16] [17]. Por ejemplo, Kapoor et al. [18] presentan varios métodos y sistemas, incluyendo señuelos, para unificar la gestión de amenazas, mientras se proporcionan instalaciones de procesamiento de flujo para el reconocimiento de patrones. Además Neysstadt et al. [19] proponen un sistema de reputación para ayudar a los sistemas de gestión de amenazas unificadas en la detección de intrusiones. En algunas realizaciones, los señuelos se usan para alimentar ese sistema de reputación. En cambio, en lugar de aplicar reconocimiento de patrones, Feeney et al. [] utilizan modelos ocultos de Markov factoriales para inferir automáticamente la estructura jerárquica del tipo de archivo del malware dentro de un modelo probabilístico. 2
1 2 30 3 40 4 0 Finalmente, las ventajas principales de las máquinas virtuales (VM), por ejemplo la recreación de múltiples plataformas que coexisten en el mismo ordenador, permiten construir un entorno de red informática económico en lugar de implantar ordenadores y redes físicas. A este respecto, el trabajo de Jiang y Wang [21] desarrolla señuelos de monitorización usando virtualización. Además, Syversen [22] presenta un enfoque de red trampa de red virtual para clonar una determinada configuración de red de empresa y que, a su vez, sirve como un sistema de detección temprana. Finalmente, los monitores de VM recientes incluyen extensiones de hardware para garantizar resistencia frente a técnicas de detección anti-vm [23], aumentando así la robustez de otros simuladores de red más sencillos tales como Honeyd [24]. Problemas con las soluciones existentes Muchos trabajos de investigación se han enfrentado al desafío de proporcionar soluciones eficaces para la detección, almacenamiento y procesamiento de información de seguridad durante la última década. Los primeros esfuerzos se concentraron en la gestión crítica de alertas heterogéneas (en datos y ubicación) en masa. A este respecto, se concibieron esquemas de agregación de datos [2] [26] [27] como paliativo para ese desafío reduciendo la cantidad de eventos almacenados y normalizando registros de auditoría y de registro [28] [29] [30]. Como resultado, se han desarrollado recientemente varios productos de software SIEM la mayoría a modo de marcos de seguridad en capas, al tiempo que se proporciona inteligencia esencial. A pesar de una centralización y agregación de datos de este tipo, la inmensa cantidad de los eventos de seguridad notificados es aún el desafío principal que hay que lograr [31] así como el papel de los administradores el cual está aún sobrecargado [32] [33] [34] [3]. Además, la inmensa mayoría de los marcos propuestos [13] [] [36] son ineficaces cuando tratan ataques distribuidos multietapa complejos [37]. Por ejemplo, dependiendo de dónde se sitúe el motor de detección, capturará algunos tipos de comportamientos pero omitirá otros, por ejemplo la información registrada en otros dispositivos tales como cortafuegos, encaminadores, servidores web, o registros de sistema. Los autores en [37] se centran en identificar ataques multietapa complejos agrupando las alertas notificadas por la dirección IP y/o puerto de destino dentro una determinada ventana de tiempo. Sin embargo, estos enfoques siguen siendo incompletos puesto que no garantizan que eventos filtrados determinarán un único ataque multietapa. Por otro lado, Zhuge et al. [38] extienden con éxito un enfoque basado en red trampa para extraer información de correlación de alto nivel de escenarios de ataque, supervisándose aún la adquisición de comportamientos de ataque por expertos humanos ( La adquisición de conocimiento es una tarea pesada pero necesaria para construir una base de conocimiento práctica, y es tan complicada que en la actualidad no puede esperarse que el ordenador realice tal trabajo sin supervisión humana [38]). Otras propuestas presentadas hasta ahora se centran en recopilar tanto software malintencionado como sea posible con el fin de estudiar su comportamiento general. Sin embargo, debe ponerse en marcha una estrategia diferente cuando se identifica un comportamiento aislado, habitualmente abordado por expertos tal como se mencionó anteriormente. Por ejemplo, Sudaharan et al. [39] introducen un enfoque basado en un conjunto de redes trampa para combatir automáticamente los ataques aprendidos a través de una red trampa. En este caso se necesitan filtros apropiados para determinar qué acciones o datos en la red trampa se consideran un ataque. Otros trabajos [1] aplican agrupamiento para filtrar alarmas relacionadas por medio de técnicas de minería de datos. Un problema principal subyacente a estos enfoques es que a veces el comportamiento del malware evoluciona de manera impredecible con el fin de evadir su detección, como hacen las redes robot de nueva generación para ofuscar mensajes de control de red [40]. Por tanto, enfoques de rastreo basados en señuelos tradicionales [41] carecen de escalabilidad debido a tal evolución del malware. Por otro lado, al igual que los problemas clásicos encontrados en la minería de datos, la extracción inteligente de reglas de correlación aún se enfrenta a sobrecargas de tiempo de ejecución en términos de potencia computacional y consumo de memoria, especialmente impuestos por la aplicación de técnicas de IA. Ciertamente, se han aplicado varias técnicas de IA para detección de ciberataques [], [42], [43], principalmente motivadas por la evolución continua de los ataques, que hace que las soluciones previas sean inválidas para ataques nuevos y evolucionados. Finalmente, el objetivo global de un motor de correlación de eventos es hallar conexiones entre alertas que pertenecen potencialmente a un determinado ataque distribuido (o multietapa). Por definición, las correlaciones son útiles porque pueden indicar una relación predictiva que va a explotarse. En este contexto, la correlación de eventos se ha abordado ampliamente en diferentes áreas relacionadas con la seguridad tales como diagnóstico de fallos de red [44], redes de sensores [4] y detección de ataques [46], pero aplicando múltiples estrategias. Recientemente, la mayoría de científicos están de acuerdo en que la correlación es mucho más efectiva cuando se considera una estrategia centralizada [32]. Sin embargo, aparte de estas escasas propuestas, la aplicación de técnicas de autoaprendizaje inteligentes para la generación de reglas de correlación de eventos se considera un desafío importante. Descripción de la invención Es necesario ofrecer una alternativa al estado de la técnica que cubra las lagunas encontradas en la 3
misma, particularmente en relación con la falta de propuestas que realmente eliminen la supervisión del experto en seguridad en la identificación de comportamiento de malware y la generación de la regla de correlación específica que coincide con ese comportamiento encontrado. Para ello, la presente invención proporciona en un primer aspecto un método para detectar software malintencionado, realizándose dicha detección de software malintencionado, o malware, al menos aplicando reglas de correlación de eventos de seguridad a una red. A diferencia de las propuestas conocidas, el método de la invención, de una manera característica, comprende: - capturar malware por medio de un colector de red trampa; - implantar una red virtual dedicada para cada malware capturado incluyendo varios dispositivos virtuales denominados VM; - inferir información de correlación a partir del malware capturado y eventos recopilados a partir de la ejecución de dicho malware capturado tanto a nivel de red como de host en cada red virtual; y 1 - generar reglas de correlación de eventos a partir de dicha información de correlación inferida por medio de técnicas de inteligencia artificial. Otras realizaciones del método del primer aspecto de la invención se describen según las reivindicaciones adjuntas 2 a 16 y en una sección posterior relativa a la descripción detallada de varias realizaciones. Un segundo aspecto de la presente invención se refiere a un sistema para detectar software malintencionado, realizándose dicha detección de software malintencionado, o malware, al menos aplicando reglas de correlación de eventos de seguridad a una red. En el sistema del segundo aspecto de la invención, a diferencia de los sistemas conocidos mencionados en la sección del estado de la técnica anterior, y de una manera característica, comprende los siguientes elementos: 2 30 - un colector de red trampa encargado de capturar malware, incluyendo dicho colector de red trampa al menos un señuelo; - un conjunto de máquinas virtuales encargado de al menos construir redes virtuales en el que cada una de dichas redes virtuales está dedicada para cada malware capturado incluyendo varios dispositivos virtuales denominados VM; - un módulo analizador encargado de inferir información de correlación a partir del malware capturado y eventos recopilados a partir de la ejecución de dicho malware capturado tanto a nivel de red como de host en cada una de dichas redes virtuales; - un módulo de aprendizaje encargado de generar reglas de correlación de eventos a partir de dicha información de correlación inferida por medio de técnicas de inteligencia artificial; y 3 - un módulo central conectado a dicho colector de red trampa, dicho conjunto de máquinas virtuales, dicho módulo analizador y dicho módulo de aprendizaje, encargado de coordinar el rendimiento entre dichos elementos del sistema. Otras realizaciones del sistema del segundo aspecto de la invención se describen según la reivindicación adjunta 18 y en una sección posterior relativa a la descripción detallada de varias realizaciones. Breve descripción de los dibujos 40 Las anteriores y otras ventajas y características se entenderán más completamente a partir de la siguiente descripción detallada de realizaciones, con referencia a los dibujos adjuntos, que deben considerarse de una manera ilustrativa y no limitativa, en los que: La figura 1 muestra un esquema general y el contexto del método y sistema de la invención propuesta en este documento. 4 La figura 2 muestra los módulos constructivos principales del sistema del segundo aspecto de la invención, según una posible realización. La figura 3 muestra el algoritmo seguido cuando se captura un malware en el colector de red trampa, según una realización de la presente invención. 4
La figura 4 muestra una exploración de un antivirus basado en firmas usada para extraer información dañina de un malware capturado en el colector de red trampa, según una realización de la presente invención. La figura muestra el algoritmo seguido por el conjunto de malware virtualizado usado para evaluar el impacto de ataques encontrados de malware capturado, según una realización de la presente invención. La figura 6 muestra el diagrama de flujo usado para analizar los eventos notificados por la SIEM implantada en cada red virtual, según una realización de la presente invención. La figura 7 muestra el diagrama de flujo de la generación de las reglas de correlación de eventos, según una realización de la presente invención. La figura 8 muestra un esquema detallado del sistema del segundo aspecto de la invención y los algoritmos que afectan a cada uno de los elementos de dicho sistema, según una realización de la presente invención. Descripción detallada de varias realizaciones 1 La presente invención se centra en proporcionar un subsistema de correlación de eventos de seguridad automático que elimina la intervención humana tanto en la detección de ataques como en la generación de reglas de correlación de eventos. Los objetivos principales van desde reducir el gran número de alertas notificadas para identificar escenarios de ataque multietapa, hasta identificar nuevas firmas de ataque. En primer lugar, el subsistema en cuestión proporciona un telescopio de red para observar actividad de malware. Adicionalmente, el telescopio en cuestión se alimenta con malware capturado por una red trampa. Para cada malware capturado se crea su propia red virtual aislada de las demás. 2 Así, el motor de correlación infiere información adicional a partir de tales alertas hallando conexiones entre las mismas. En general, las alertas de correlación se disparan basándose en directrices preestablecidas, es decir un conjunto de reglas. A este respecto, las directrices de correlación son generalmente ineficaces sin una configuración apropiada. Por ejemplo, la creación de directrices se lleva a cabo habitualmente por el administrador del sistema como experto. Ahora, el subsistema en cuestión extrae información de correlación de los eventos recopilados en cada red virtual. Este subsistema en cuestión genera automáticamente reglas de correlación de eventos a partir de la información inferida extraída en cada telescopio. También se proporciona un módulo adicional para instanciar y gestionar cada telescopio por medio de virtualización de red. De esta manera, el subsistema puede analizar archivos ejecutables de malware y su comportamiento basándose en los eventos generados. 30 3 40 4 0 En otra realización adicional de la invención, está presente un subsistema para monitorizar cada telescopio de red usando un sistema SIEM. La presente invención entonces integra detección y correlación de eventos de seguridad semisupervisadas como un todo en un marco SIEM usando técnicas de inteligencia artificial. Por motivos de ilustración, la figura 1 representa el contexto de la propuesta. La presente invención se ubica físicamente en dos segmentos de red principales. Por un lado, la captura (por una red trampa) del malware entrante se produce en la zona desmilitarizada (DMZ) que está expuesta públicamente. Por otro lado, el análisis de malware y la generación de reglas de correlación se sitúan en una subred separada, aislada de la altamente protegida intranet. El propósito del subsistema de correlación de eventos basado en red trampa inteligente, tal como se muestra en la figura 2, es en primer lugar atrapar automáticamente y recopilar malware, y entonces crear después un entorno de red informática aislado. La idea clave es aprender tanta información como sea posible acerca del comportamiento del malware recopilado que sirve para generar automáticamente reglas de correlación de eventos para una SIEM. Tal como se muestra en la figura 2, el subsistema de correlación basado en red trampa debe gestionar cuatro bloques constructivos principales, es decir un colector de malware basado en red trampa (HMC) que compila el software malintencionado producido, un analizador de malware y eventos de seguridad que ayuda a inferir información de correlación, un conjunto basado en maquina virtual para evaluar el impacto de los ataques encontrados (VMP) y, finalmente, la generación de reglas de correlación (CRG) que se encarga de crear automáticamente reglas de correlación de eventos por medio de técnicas de inteligencia artificial supervisadas. En primer lugar, el HMC consiste en un grupo de señuelos que pretenden capturar el software malintencionado entrante. El malware recopilado no se analiza en esta fase sino que se almacena en una base de datos con el fin de ejecutarse después, tal como se representa en la figura 3. Los señuelos se diseñan para exponer sistemas vulnerables en una subred no protegida para capturar malware descargado de manera oculta. Cuando el atacante explota una vulnerabilidad (conocida o desconocida), el sistema atrapa el ejecutable descargado. En una posible realización, sería posible usar rastreadores para estimular la actividad de la red trampa. Si el hash del
malware capturado coincide con otro almacenado previamente, entonces se descarta el ejecutable. 1 2 30 3 40 4 0 En segundo lugar, debe ponerse en marcha una exploración de firmas y vulnerabilidad por medio del módulo de analizador de malware que extrae información, tal como se muestra en la figura 4, usando métodos de detección de malware [32], tal como sigue. Normalmente, los sistemas de antivirus (AV) tradicionales operarán usando la detección de cargas dañinas basadas en firmas para patrones conocidos malintencionados. Una actualización continua de las firmas de AV a partir de diferentes servicios activos reducirá el coste y esfuerzo a la hora de etiquetar malware ampliamente conocido. En una posible realización, podría obtenerse información adicional para eliminar la duplicación potencial de malware a partir de depositarios normalizados según se define en MAEC (caracterización y enumeración de atributos de malware) [33]. En otra realización, el analizador de malware también puede producir la siguiente información en relación con una determinada especificación de malware: nombre, vulnerabilidades comunes explotadas, y el sistema operativo y servicios afectados. En aún otra realización, pueden implantarse técnicas estáticas [34] y dinámicas [3] para un análisis de código malintencionado para este módulo. La tercera fase tiene lugar dentro del VMP que representa un subsistema separado para instanciar una configuración de red usando máquinas virtuales para probar los ataques encontrados, tal como se representa en la figura. En este contexto, cuanta más información haya acerca de las vulnerabilidades afectadas proporcionadas por el analizador de malware en la fase anterior, más información tendrá el VMP para implantar la configuración de red virtual más apropiada. En cambio, cuando no se devuelve ninguna información por el analizador, entonces se ha descubierto un malware de día cero y, por tanto, se establece por defecto una configuración adecuada para la red virtual. En cualquier caso, las máquinas virtuales alojarán el software malintencionado junto con una instancia de sistema SIEM que es responsable de recopilar los eventos virtualizados como resultado de la actividad del malware demostrada. En cierta medida, la instancia de SIEM podría configurarse por defecto, o incluso incorporar información de seguridad adicional con respecto a ejecuciones previas del subsistema entero. Por tanto, este telescopio virtual también alojará diferentes productos de software en diferentes sistemas operativos. Cada sistema de red implantará un sensor conectado a la SIEM con el fin de acumular eventos críticos producidos en el sistema. El malware anidado entonces producirá un patrón y una secuencia de eventos diferente de sistemas no infectados. Productos de software típicos tales como cortafuegos, IDS, etc. notificarán eventos valiosos para una correlación adicional; y, por tanto, también se incluirán en una red virtual implantada. En esta invención se presenta un proceso de aprendizaje de dos fases basado en una clasificación sencilla: evaluación de (i) eventos positivos, y (ii) eventos negativos. En esta fase, los eventos se definen como positivos cuando se notifican desde sensores a la SIEM. Por tanto, se analizan eventos notificados desde la SIEM una vez más por el módulo analizador tal como se representa en la figura 6. Este análisis adicional es esencial para generar automáticamente un conjunto de entrenamiento. El conjunto de entrenamiento reúne de una manera organizada todas las características de eventos extraídas de la prueba de VMP. Este conjunto de entrenamiento consiste en los eventos etiquetados como positivos extraídos de la fase de VMP tal como se mencionó anteriormente, junto con los eventos, etiquetados como negativos, inferidos de, por ejemplo, un sistema inmune artificial (AIS). Por ejemplo, la técnica de AIS ampliamente conocida, concretamente, selección negativa [48] [49] completa el proceso de clasificación con los eventos discriminatorios. Con esta técnica, pueden retirarse eventos perjudiciales del conjunto positivo de eventos, llevando a una mejor convergencia del proceso de aprendizaje. Por tanto, la salida de este análisis implica dos grupos diferentes de eventos, es decir registros positivos y registros negativos. Adicionalmente, si el malware analizado es parte del ataque de día cero mencionado anteriormente, se extrae información de MAEC ausente con el fin de aliviar el impacto de los ataques basados en día cero. Por ejemplo, si sólo se notifican eventos de instancias de Windows XP SP3, pero no de SP1 y SP2, entonces los atributos de malware se caracterizarán apropiadamente según este escenario de ataque. El conjunto de entrenamiento permite aplicar cualquier técnica de inteligencia artificial supervisada así como servir como guía para la evaluación de reglas sin supervisión humana. Finalmente, la CRG crea reglas de correlación de eventos evaluando el conjunto de entrenamiento y la información estadística producidos por un proceso de minería de datos en los eventos positivos, tal como sigue. La minería de datos proporciona algunos datos estadísticos útiles, tal como el tiempo entre llegadas entre eventos con respecto a una de sus características, como los puertos o direcciones IP; estas estadísticas ayudan a la siguiente fase, es decir la generación de reglas inteligente, al clasificar los eventos relacionados en un tipo específico de ataque. Este módulo produce reglas de correlación genéricas para ese malware específico aplicando cualquier técnica basada en IA. Tal como se representa en la figura 7, la CRG entonces evalúa las reglas de correlación automáticamente generadas con los dos grupos mencionados anteriormente de registros positivos y negativos, con el objetivo de maximizar los positivos al tiempo que se minimizan los negativos. Por tanto, la técnica basada en IA devolverá la mejor regla de correlación generada basándose en el conocimiento capturado a partir del comportamiento del malware. Además, en una realización podría usarse CAPEC (clasificación y enumeración de patrones de ataque común) [36] o AKDL (lenguaje de descripción de conocimiento de ataque) [38] como una representación intermedia antes de traducir las reglas de correlación a una sintaxis específica de SIEM. Las reglas producidas se exportan entonces al motor de correlación de la SIEM de la organización en 6
producción, mientras se realimenta el motor de correlación de SIEM implantado sobre el VMP. Realizaciones de esta invención comprenden un marco como un todo que automatiza la correlación de eventos, eliminando la intervención humana durante ese proceso. En una realización preferida, el marco propuesto es adecuado para que se integre en una SIEM de fuente abierta tal como OSSIM [0] que puede usarse no sólo para unificar la gestión de marco de seguridad sino también para monitorizar las actividades de los sensores. En una posible realización, y con respecto al módulo de HMC, se usan redes trampa en la subred de DMZ para capturar el malware descargado de manera oculta. En otra realización, podrían usarse rastreadores para estimular la actividad de la red trampa. 1 2 En otra posible realización, y con respecto al analizador de malware, podrían usarse esfuerzos colaborativos (mayormente en forma de servicios de exploración en línea tales como Anubis [1], CWSandbox [2], Virus Total [3], Norman Sandbox [4], por mencionar algunos) para obtener información acerca de malware ampliamente conocido. En una realización particular, la invención propuesta puede aplicar Xen Hypervisor [], es decir un monitor de máquina virtual que mejora el proceso de virtualización ejecutado en el subsistema de VMP. Usando extensiones de hardware, se desea construir por consiguiente las vulnerabilidades recibidas desde cada telescopio de red, no sólo en términos de software. En otra realización, también podrían usarse herramientas de rastreo de llamada de sistema y otros kits de herramientas de análisis de malware genéricos tales como VMScope [21], TTAnalyze [6], o Ether [23] para extraer de manera eficaz información de malware dentro de nuestra propia zona protegida. Realizaciones del subsistema de analizador de eventos van desde adoptar métodos de agrupamiento hasta aprendizaje de reglas de asociación, entre otros [7]. En una realización ventajosa, el subsistema de CRG puede aplicar técnicas de computación evolutiva (EC), por ejemplo programación genética (GP), para proporcionar un aprendizaje automático de reglas de correlación de eventos. Este proceso se guía por un conjunto de entrenamiento generado previamente, que contiene la clasificación de eventos proporcionados por nuestros subsistemas de VMP. Más específicamente, la GP alcanza de manera eficaz la regla de correlación del ataque objetivo como el individuo más adecuado (para más detalles sobre esta estrategia genética, se remite a [7]). A este respecto, el AIS representa otro algoritmo de EC potencial para su uso en otra realización. Las realizaciones dadas a conocer son ilustrativas y no restrictivas. 30 3 40 4 0 Ventajas de la invención La finalidad principal de esta invención es eliminar totalmente la necesidad de supervisión del experto en seguridad especialmente en dos tareas principales, concretamente la identificación del comportamiento de malware y la generación de la regla de correlación específica que coincide con ese comportamiento encontrado. Por ejemplo, las SIEM actuales en producción ya dependen de la existencia de esa supervisión. Otra ventaja importante se centra en problemas de escalabilidad. La presente invención genera reglas de correlación que pueden integrarse fácilmente o bien en diferentes productos de SIEM o bien en diferentes infraestructuras de red. Una finalidad importante en este caso es la supresión de cualquier implantación de marco adicional in-situ. Además, se garantiza el proceso de aprendizaje en tiempo real suponiendo recursos ilimitados. Sin embargo, los experimentos muestran que es viable poner en marcha varias implantaciones que ejecutan hasta 0 máquinas virtuales sobre dos nodos que comprenden 4 núcleos hexagonales cada uno. Además, se ha demostrado que sistemas SIEM actuales como OSSIM pueden incorporar de manera dinámica y eficaz las reglas de correlación de eventos extraídas. Con respecto a problemas de optimización, se alivian esfuerzos en términos de tiempo y recursos. Como consecuencia de las dos ventajas anteriores, los costes a largo plazo de la invención automática son potencialmente menores que los costes, por ejemplo salarios y entrenamiento, derivados de la contratación de expertos en estas tareas de correlación complejas. No obstante, debe considerarse la evaluación de la compensación entre costes humanos y hardware. Adicionalmente, la introducción de sistemas SIEM como un requisito esencial en nuestro subsistema proporciona un punto de vista holístico de análisis de malware puesto que no sólo la tecnología de detección está evolucionando y cambiando constantemente sino también la complejidad de nuevos ataques multietapa. Una ventaja clave derivada del subsistema de VMP es que las actividades sospechosas producidas por un malware específico se aíslan de las actividades producidas por cualquier otro malware, eliminando así el ruido en fases anteriores. 7
Además, otra ventaja de la presente invención es que se detectan tanto firmas de malware ampliamente conocidas como desconocidas. Finalmente, la mutación y/o evolución del comportamiento de malware existente también se identifican ciertamente. A este respecto, la realimentación y colaboración entre sistemas SIEM en producción y las instanciaciones virtuales en zonas protegidas hacen que el reconocimiento del malware relacionado sea más rápido respecto a uno categorizado previo. Un experto en la técnica puede introducir cambios y modificaciones en las realizaciones descritas sin apartarse del alcance de la invención tal como se define en las reivindicaciones adjuntas. 8
SIGLAS 1 2 AI AIS AKDL CAPEC CRG CVE DMZ DNS EC GP HMC IDMEF IDS IP MAEC OSSIM SIEM SPx US VM VMP WO Artificial Intelligence; inteligencia artificial Artificial Immune System; sistema inmune artificial Attack Knowledge Description Language; lenguaje de descripción de conocimiento de ataque Common Attack Pattern Enumeration and Classification; clasificación y enumeración de patrones de ataque común Correlation Rule Generation; generación de reglas de correlación Common Vulnerabilities y Exposures; exposiciones y vulnerabilidades comunes De Militarized Zone; zona desmilitarizada Domain Name System; sistema de nombres de dominio Evolutionary Computation; computación evolutiva Genetic Programming; programación genética Honeynet-based Malware Collector; colector de malware basado en red trampa Intrusion Detection Message Exchange Format; formato de intercambio de mensajes de detección de intrusión Intrusion Detection System; sistema de detección de intrusión Internet Protocol; protocolo de Internet Malware Attribute Enumeration and Characterization; caracterización y enumeración de atributos de malware Open Source Security Information Management; gestión de información de seguridad de fuente abierta Security Information and Event Management; gestión de eventos e información de seguridad Servi Pack one, two o three; paquete de servicio uno, dos o tres United States; Estados Unidos Virtual Machine; máquina virtual Virtualized Malware Pool; conjunto de malware virtualizado World Intellectual Property Organization; Organización mundial de la propiedad intelectual 9
BIBLIOGRAFÍA [1] A data mining approach for analysis of worm activity through automatic signature generation. Zurutuza, Urko, Uribeetxeberria, Roberto y Zamboni, Diego. Alexandria: ACM Nueva York, 08. 1st ACM workshop on AISec. 978-1-608-291-7. [2] Bothunter: Detecting malware infection through ids-driven dialog correlation. Gu, Guofei, y otros. Boston: USENIX Association, 07. 16th USENIX Security Symposium on USENIX Security Symposium. Vol. 12, págs. 1-16. 111-333--77-9. [3] BotSniffer: Detecting botnet command and control channels in network traffic. Gu, G. and Zhang, J. and Lee, W. San Diego, CA, febrero: s.n., 08. Proceedings of the 1th Annual Network and Distributed System Security Symposium. [4] On the detection and identification of botnets. Seewald, A.K. and Gansterer, W.N. 1, s.l.: Elsevier,, Computers & Security, Vol. 29, págs. 4-8. 0167-4048. 1 [] The use of computational intelligence in intrusion detection systems: A review. Wu, Shelly Xiaonan y Banzhaf, Wolfgang. 1,, Applied Soft Computing, Vol., págs. 1-3. [6] Lunt, T., y otros. A real-time intrusion-detection expert system (IDES). SRI International. 1992. [7] Brugger, S.T. Data mining methods for network intrusion detection. Universidad de California, Davis. s.l.: Technique Report, 04. [8] Detecting network intrusions via a statistical analysis of. Bykova, M., Ostermann, S. y Tjaden, B. Athens, OH, EE.UU.: s.n., 01. Proceedings of the 33rd Southeastern Symposium on System. págs. 309-314. [9] Network intrusion detection using an improved competitive learning neural network. Ripley, BD. 3, s.l.: JSTOR, 1994, Journal of the Royal Statistical Society, Vol. 6, págs. 409-46. [] An application of machine learning to network intrusion detection. Sinclair, C., Pierce, L. y Matzner, S. s.l.: IEEE, 199. Proceedings of the 1th Annual Computer Security Applications Conference. págs. 371-377. 2 [11] A safe mobile agent system for distributed intrusion detection. Zhong, S.C., y otros. 03. International Conference on Machine Learning and Cybernetics. Vol. 4, págs. 09--14. [12] Towards an artificial immune system for network intrusion. Kim, Jungwon y Bentley, P.J. 01. Proceedings of the 01 Congress on Evolutionary Computation. Vol. 2, págs. 244--22. 30 [13] A survey of coordinated attacks and collaborative intrusion detection. Zhou, Chenfeng Vincent, Leckie, Christopher y Karunasekera, Shanika. 1, s.l.: Elsevier,, Computers & Security, Vol. 29, págs. 124 140. [14] A honeypot architecture for detecting and analyzing unknown network attacks. P, Diebold, A, Hess y G, Schäfer. s.l.: Springer, 0. Kommunikation in Verteilten Systemen. págs. 24 2. [1] Effective and efficient malware detection at the end host. Kolbitsch, C., y otros. Montreal: USENIX Association, 09. 18th Conference on USENIX security symposium. págs. 31-366. 978-1-931971-69-0. 3 [16] Toward Automated Dynamic Malware Analysis Using CWSandbox. Willems, Carsten, Holz, Thorsten y Freiling, Felix. 2, s.l.: IEEE, 07, Security and Privacy Magazine, Vol.. [17] Automated Classification and Analysis of Internet Malware. Bailey, Michael, y otros. Gold Coast, Australia: Springer Berlin/ Heidelberg, 07. th international conference on Recent advances in intrusion detection. págs. 178-197. 3-40-74319-7. 40 [18] KAPOOR, Harsh, y otros. Systems and Methods for Processing Data Flows. WO 07/070838 International, 21 de junio de 07. System and Method. [19] NEYSTADT, John y HUDIS, Efim. Detection of adversaries Through Collection and Correlation of Assessments. WO 08/127843 International, 23 de octubre de 08. 4 [] FEENEY, Bryan, POULSON, Steven y EDWARDS, John. Malware Detection. WO /067070 International, 17 de junio de. [21] Out-of-the-box monitoring of VM-based high-interaction honeypots. Jiang, X. and Wang, X. Gold Goast, Australia: Springer-Verlag, 07. Proceedings of the th international conference on Recent advances in intrusion detection. págs. 198-218.
[22] Syversen, Jason M. Method and Apparatus for defending against Zero-day Worm based attack. 0098476 US, 24 de abril de 08. Method; Aparatus. [23] Ether: Malware analysis via hardware virtualization extensions. Dinaburg, A. and Royal, P. and Sharif, M. and Lee, W. s.l.: ACM, 08. Proceedings of the 1th ACM conference on Computer and communications security. págs. 1--62. [24] A virtual honeypot framework. Provos, Niels. San Diego, CA: USENIX Association, 04. Proceedings of the 13th conference on USENIX Security Symposium. Vol. 13. 1 2 30 [2] Aggregation and correlation of intrusion-detection alerts. Debar, Hervé y Wespi, Andreas. Davis, CA, EE.UU.: Springer, 01. 4th International Symposium on Recent Advances in Intrusion Detection. págs. 8-3. [26] An Alert Fusion Framework for Situation Awareness of Coordinated Multistage Attacks. Mathew, Sunu, Shah, Chintan y Upadhyaya, Shambhu. Oahu, Hawai: IEEE Computer Society, 0. International Workshop on Innovative Architecture for Future Generation High-Performance Processors and Systems. págs. 9-4. [27] Towards scalable and robust distributed intrusion alert fusion with good load balancing. Li, Zhixhun, Chen, Yan y Beach, Aaron. s.l.: ACM, 122-130. Proceedings of the SIGCOMM workshop on Large-scale attack defense. [28] A standard audit trail format. Bishop, Matt. Madrid: DIANE Publishing, 199. Proceedings of the National Information Systems Security Conference. págs. 136-14. [29] Debar, H., Curry, D. y Feinstein, B. IETF RFC 476. France Telecom, Guardian, Inc. SecureWorks The Intrusion Detection Message Exchange Format. [The Internet Engineering Task Force]. s.l.: RFC Editor, marzo de 07. www.ietf.org/rfc/rfc476.txt. [30] Lonvick, C. ISOC RFC 3164. Cisco Systems The BSD syslog Protoco. [The Internet Society]. Agosto: RFC Editor, 07. www.ietf.org/rfc/rfc476.txt. [31] Event Correlation in Integrated Management: Lessons Learned and Outlook. Martin-Flatin, Jean Philippe, Jakobson, Gabriel y Lewis, Lundy. 4, s.l.: Springer, 07, Journal of Network and Systems Management, Vol. 1, págs. 481-02. [32] M2D2: A formal data model for IDS alert correlation. Morin, Benjamin, y otros. Zurich, Switzerland: Springer- Verlag, 02. Proceedings of the th international conference on Recent advances in intrusion detection. págs. 11-137. [33] Event summarization for system management. Peng W, Perng C, Li T, Wang H. San Jose, CA, USA: ACM, 07. Proceedings of the 13th ACM SIGKDD international conference on Knowledge discovery and data mining. págs. 28-32. [34] An Online Adaptive Approach to Alert Correlation. Ren, Hanli, Stakhanova, Natalia y Ghorbani, Ali. Bonn, Alemania: s.n.,. págs. 13--172. 3 [3] Employing Honeynets For Network Situational Awareness. Barford, P, y otros. XII, s.l.: Springer,, Cyber Situational Awareness, Vol. 46, págs. 71-2. [36] Honeycomb: creating intrusion detection signatures using honeypots. Kreibich, Christian y Crowcroft, Jon. 1, s.l.: ACM, 04, ACM SIGCOMM Computer Communication Review, Vol. 34, págs. 1 6. [37] Automatic Multi-step Attack Pattern Discovering. Wang L, Ghorbani A, Li Y. 2,, International Journal of Network Security, Vol., págs. 142 12. 40 [38] Towards High Level Attack Scenario Graph through Honeynet Data Correlation Analysis. Zhuge, Jianwei, y otros. s.l.: IEEE, 06. Information Assurance Workshop. págs. 21-222. [39] Sudaharan, Sushanthan, y otros. Honeynet Farms as an Early Warning System for Production Networks. 0116 US, 11 de mayo de 06. Software. 4 [40] Active Botnet Probing to Identify Obscure Command and Control Channels. Kolbitsch, Clemens, y otros. Montreal: USENIX Association, 09. 18th USENIX Security Symposium. 978-1-931971-69-0. [41] A multifaceted approach to understanding the botnet phenomenon. Rajab, Moheeb Abu, y otros. Río de Janeiro: USENIX, 06. 6th ACM SIGCOMM Conference on Internet Measurement. págs. 41-2. 1993614. [42] A Survey of Cyber Attack Detection Systems. Singh, Shailendra y Silakari, Sanjay., 09, IJCSNS, Vol. 9, págs. 1-. 11
[43] Intrusion detection by machine learning: A review. Tsai, Chih-Fong and Hsu, Yu-Feng and Lin, Chia-Ying and Lin, Wei-Yang., s.l.: Elsevier Ltd, 09, Expert Systems with Applications, Vol. 36, págs. 11994-0. [44] Event detection and correlation for network environments. Sifalakis, Manolis, Fry, Michael y Hutchison, David. 1,, IEEE Journal on Selected Areas in Communications, Vol. 28, págs. 60-69. [4] RESTORE: A real-time event correlation and storage service for sensor networks. Krishnamurthy, Sudha, y otros. Chicago, IL, EE.UU.: Transducer Research Foundation TRF, 06. Proceedings of the 3rd International Conference on Networked Sensing Systems (INSS). [46] Limmer, Tobias y Dressler, Falko. Survey of Event Correlation Techniques for Attack Detection in Early Warning Systems. Department of Computer Science, Universidad de Erlangen. 08. pág. 37. [47] All your iframes point to us. Provos N, Mavrommatis P, Rajab MA, Monrose F. San Jose, California: s.n., 08. Proceedings of the 17th conference on security symposium. págs. 1-1. [48] Self-nonself discrimination in a computer. Forrest, S., y otros. Los Alamos, CA: IEEE Computer Society Press, 1994. Proceedings of the 1994 IEEE Symposiumon Research in Security and Privacy. págs. 2-212. 1 [49] Real-valued negative selection algorithm with variable-sized detectors. Ji, Z. y Dasgupta, D. Seattle, Washington: Springer, 04. Genetic and Evolutionary Computation Conference. págs. 287-298. [0] Alienvault. Open Source Security Information Management. http://www.ossim.net. [1] Anubis. Analyzing unknown binaries. http://anubis.iseclab.org/. [2] Toward Automated Dynamic Malware Analysis Using CWSandbox. Willems, Carsten, Holz, Thorsten y Freiling, Felix. 2, 07, IEEE Security and Privacy Magazine, Vol., págs. 32-39. [3] Virustotal. Free online virus and malware scan. http://www.virustotal.com. [4] Norman Proactive IT Security. SandBox Online Analyzer. http://www.norman.com/products/sandbox_online_analyzer/en. [] Xen. Xen Hypervisor. http://www.xen.org/products/xenhyp.html. 2 [6] Dynamic analysis of malicious code. Bayer, Ulrich, y otros. 1, s.l.: Springer, 06, Journal in Computer Virology, Vol. 2, págs. 67-77..07/S11416-006-0012-2. [7] Automatic Rule Generation Based on Genetic Programming for Event Correlation. Suarez-Tangil, G., y otros. Burgos: Springer, 09. Computational Intelligence in Security for Information. págs. 127-134. Advances in Soft Computing. 12
REIVINDICACIONES 1. Método para detectar software malintencionado, realizándose dicha detección de software malintencionado, o malware, al menos aplicando reglas de correlación de eventos de seguridad a una red, caracterizado porque comprende: - capturar malware por medio de un colector de red trampa; - implantar una red virtual dedicada para cada malware capturado; - inferir información de correlación a partir del malware capturado y eventos recopilados a partir de la ejecución de dicho malware capturado en cada red virtual; y 1 - generar reglas de correlación de eventos a partir de información de correlación inferida por medio de técnicas de inteligencia artificial. 2. Método según la reivindicación 1, que comprende almacenar un ejecutable del malware capturado en una base de datos o descartar dicho ejecutable si el hash de dicho malware capturado coincide con otro almacenado previamente, usándose dicho ejecutable en cada dicha red virtual con el fin de obtener información a partir de dicho malware capturado. 3. Método según la reivindicación 1 ó 2, que comprende extraer información a partir de dicho malware capturado usando detección basada en firma de cargas útiles para patrones conocidos de mala intención y/o técnicas estáticas y dinámicas para análisis de código malintencionado. 4. Método según la reivindicación 3, que comprende además usar repositorios convencionales según caracterización y enumeración de atributos de malware con el fin de eliminar duplicación potencial de malware cuando se realiza dicha extracción de información de dicho malware capturado.. Método según la reivindicación 3 ó 4, en el que dicha información extraída comprende al menos uno de: nombre de dicho malware capturado, vulnerabilidades comunes explotadas por dicho malware capturado y sistema operativo y servicios afectados por dicho malware capturado. 2 30 6. Método según cualquiera de las reivindicaciones anteriores, que comprende implantar dicha red virtual con al menos un host virtual encargado de alojar malware capturado y con una instancia de implantación de gestión de eventos e información de seguridad, o SIEM, encargada de recopilar eventos activados por la actividad de dicho malware capturado. 7. Método según la reivindicación 6 cuando depende de la reivindicación 3, que comprende aplicar una configuración por defecto a dicha red virtual si no ha sido posible extraer información de dicho malware capturado. 8. Método según la reivindicación 6 ó 7, que comprende ejecutar dicha captura en dicha red virtual con el fin de recopilar eventos producidos a partir de dicha ejecución. 3 40 4 9. Método según la reivindicación 8, que comprende extraer información de clasificación y enumeración de atributos de malware ausente a partir de la ejecución en dicha red virtual de dicho malware capturado si no ha sido posible extraer información del malware capturado en dicha red trampa.. Método según la reivindicación 8 ó 9, que comprende generar dichas reglas de correlación de eventos evaluando un conjunto de entrenamiento e información estadística producidos por un proceso de minería de datos en al menos parte de dichos eventos recopilados a partir de la ejecución de dicho malware capturado, generándose dicho conjunto de entrenamiento mediante el análisis de eventos notificados desde dicha instancia de implantación de SIEM. 11. Método según la reivindicación, que comprende clasificar dichos eventos recopilados a partir de la ejecución de dicho malware capturado en eventos positivos y eventos negativos, en el que los eventos positivos se extraen de una prueba de conjunto de malware virtualizado y los eventos negativos se infieren de un sistema inmune artificial. 12. Método según la reivindicación 11, que comprende usar una selección negativa en dicho sistema inmune artificial. 13. Método según la reivindicación 12, en el que dicho conjunto de entrenamiento consiste en dichos eventos positivos y dichos eventos negativos. 0 14. Método según la reivindicación 13, que comprende además generar dichas reglas de correlación de eventos aplicando una técnica de inteligencia artificial a la información producida por un proceso de minería 13
de datos en dichos eventos positivos y evaluar dichas reglas de correlación de eventos con dicho conjunto de entrenamiento, comprendiendo dicha evaluación de dichas reglas de correlación de eventos maximizar eventos positivos y minimizar eventos negativos. 1. Método según la reivindicación 1, que comprende traducir dichas reglas de correlación de eventos a una sintaxis de SIEM por medio de enumeración de patrones de ataque común o lenguaje de descripción de conocimiento de ataque. 16. Método según la reivindicación 14 ó 1, que comprende realimentar dicha instancia de implantación de SIEM con dichas reglas de correlación de eventos. 1 2 17. Sistema para detectar software malintencionado, realizándose dicha detección de software malintencionado, o malware, al menos aplicando reglas de correlación de eventos de seguridad a una red, caracterizado porque comprende los siguientes elementos y medios para implementar el método según cualquiera de las reivindicaciones 1 a 16: - un colector de red trampa encargado de capturar malware, incluyendo dicho colector de red trampa al menos un señuelo; - un conjunto de máquinas virtuales encargado de al menos construir redes virtuales en las que cada una de dichas redes virtuales está dedicada para cada malware capturado; - un módulo analizador encargado de inferir información de correlación a partir de malware capturado y eventos recopilados a partir de la ejecución de dicho malware capturado en cada una de dichas redes virtuales; - un módulo de aprendizaje encargado de generar reglas de correlación de eventos a partir de dicha información de correlación inferida por medio de técnicas de inteligencia artificial; y - un módulo central conectado a dicho colector de red trampa, dicho conjunto de máquinas virtuales, dicho módulo analizador y dicho módulo de aprendizaje, encargado de coordinar el rendimiento entre dichos elementos del sistema. 14
1
16
17
18
19