automatically detecting vulnerable sites before they turn
play

Automatically Detecting Vulnerable Sites Before They Turn Malicious - PowerPoint PPT Presentation

Mar 11, 2023 •200 likes •491 views

Automatically Detecting Vulnerable Sites Before They Turn Malicious Kyle Soska Nicolas Chris>n Carnegie Mellon University Carnegie Mellon University ECE / Cylab ECE / Cylab

  1. Automatically Detecting Vulnerable Sites Before They Turn Malicious Kyle ¡Soska ¡ Nicolas ¡Chris>n ¡ Carnegie ¡Mellon ¡University ¡ Carnegie ¡Mellon ¡University ¡ ECE ¡/ ¡Cylab ¡ ECE ¡/ ¡Cylab ¡ ksoska@cmu.edu ¡ nicolasc@cmu.edu ¡ Sponsors: ¡NSF ¡(CCF-­‑0424422, ¡CNS-­‑1223762) ¡and ¡DHS ¡S&T/CSD ¡(N66001-­‑13-­‑C-­‑0131) ¡ 1 ¡

  2. Problem Setting § Adversaries ¡compromise ¡websites ¡ • Economically ¡Ra>onal ¡– ¡mone>ze ¡compromises ¡ § Neutral ¡to ¡vic>ms ¡ § Maximize ¡volume, ¡efficiency, ¡profits ¡ • Hack>vist ¡– ¡promote ¡social, ¡poli>cal, ¡or ¡religious ¡ agenda ¡ § Targeted ¡aYacks ¡ § Low ¡volume ¡ 2 ¡

  3. Economically Rational Adversary § Decisions ¡always ¡maximize ¡profit ¡ § Probabilis>c ¡Polynomial ¡Time ¡ • Cannot ¡break ¡standard ¡crypto, ¡session ¡cookies, ¡ hashes, ¡etc. ¡ § Does ¡not ¡control ¡significant ¡por>on ¡of ¡web ¡ • Cannot ¡perform ¡adversarial ¡machine ¡learning ¡aYacks ¡ by ¡poisoning ¡a ¡random ¡sample ¡of ¡the ¡web ¡ § Able ¡to ¡exploit ¡vulnerable ¡web ¡so]ware ¡ 3 ¡

  4. Mode of Operation Step ¡1: ¡Find ¡bug ¡or ¡vulnerability ¡in ¡popular ¡web ¡ so]ware ¡or ¡content ¡management ¡system ¡(CMS) ¡ ¡ Step ¡2: ¡Enumerate ¡sites ¡containing ¡vulnerability ¡ Step ¡3: ¡Exploit ¡vulnerable ¡sites ¡ ¡ Step ¡4: ¡Mone>ze ¡and ¡profit ¡ 4 ¡

  5. 5 ¡

  6. Problem and Goal § Exis>ng ¡approaches ¡detect ¡if ¡a ¡ webpage ¡is ¡ already ¡malicious ¡ § Is ¡it ¡possible ¡to ¡predict ¡if ¡a ¡non-­‑malicious ¡ website ¡ will ¡become ¡malicious ¡in ¡the ¡ future ? ¡ • What ¡would ¡such ¡a ¡system ¡look ¡like? ¡ • What ¡requirements ¡are ¡imposed ¡on ¡such ¡a ¡system? ¡ • What ¡are ¡the ¡fundamental ¡limita>ons? ¡ 6 ¡

  7. System Design Malicious ¡ Alexa.com ¡ Archive.org ¡ Blacklists ¡ Sites ¡ Template ¡ Feature ¡ Filter ¡ Extrac>on ¡ Safe ¡Sites ¡ Zone ¡ Files ¡ Stream ¡ Classifier ¡ 7 ¡

  8. System Properties § Efficiency ¡ • Internet ¡dataset ¡ § Interpretability ¡ • Need ¡to ¡build ¡intui>on ¡about ¡why ¡the ¡site ¡will ¡become ¡ compromised ¡ § Robustness ¡to ¡Imbalanced ¡Data ¡ • Far ¡more ¡benign ¡examples ¡than ¡malicious ¡ones ¡ § Robustness ¡To ¡Mislabeled ¡Data ¡ • Blacklists ¡may ¡contain ¡errors ¡or ¡be ¡incomplete ¡ § Adap>ve ¡ • Internet ¡is ¡a ¡concept ¡dri]ing, ¡requires ¡ac>ve ¡adapta>on ¡ 8 ¡

  9. Dataset Malicious ¡ Alexa.com ¡ Archive.org ¡ Blacklists ¡ Sites ¡ Template ¡ Feature ¡ Filter ¡ Extrac>on ¡ Safe ¡Sites ¡ Zone ¡ Files ¡ Stream ¡ Classifier ¡ 9 ¡

  10. Dataset Type ¡ Instances ¡ Archived ¡ % ¡Archived ¡ Instances ¡ PhishTank ¡ 91,555 ¡ 34,922 ¡ 38.1 ¡ Search ¡ 16,173 ¡ 14,425 ¡ 89.2 ¡ Redirec>on * ¡ .com ¡Zone ¡Files ¡ 336,671 ¡ 336,671 ¡ N/A ¡ § PhishTank: ¡Feb ¡2013 ¡– ¡Dec ¡2013 ¡ § Search ¡Redirec>on: ¡Oct ¡2011 ¡– ¡Sept ¡2013 ¡ § Zone ¡Files: ¡Feb ¡2010 ¡– ¡Sept ¡2013 ¡ * ¡Leon>adis ¡et ¡al., ¡2014 ¡ 10 ¡

  11. Filtering Malicious ¡ Alexa.com ¡ Archive.org ¡ Blacklists ¡ Sites ¡ Template ¡ Feature ¡ Filter ¡ Extrac>on ¡ Safe ¡Sites ¡ Zone ¡ Files ¡ Stream ¡ Classifier ¡ 11 ¡

  12. Filtering Naviga>on ¡ User ¡Content ¡ Social ¡Media ¡ Links ¡ 12 ¡

  13. Filtering – Based on [Yi et al., 2003] § Compute ¡entropy-­‑like ¡heuris>c ¡“Composite ¡ Importance” ¡(CmpImp ¡ ∈[0, ¡1] ) ¡for ¡each ¡element ¡on ¡a ¡ page ¡ § Remove ¡elements ¡above ¡a ¡fixed ¡threshold ¡ 13 ¡

  14. Original Page 14 ¡

  15. Threshold = 0.99 15 ¡

  16. Threshold = 0.1 16 ¡

  17. Feature Extraction Malicious ¡ Alexa.com ¡ Archive.org ¡ Blacklists ¡ Sites ¡ Template ¡ Feature ¡ Filter ¡ Extrac>on ¡ Safe ¡Sites ¡ Zone ¡ Files ¡ Stream ¡ Classifier ¡ 17 ¡

  18. Feature Set § Traffic ¡Features ¡ • Site ¡Rank ¡ • Links ¡into ¡site ¡ • Load ¡Percen>le ¡ • …more ¡ § Content ¡Features ¡ • HTML ¡Tags ¡(type, ¡content, ¡aYributes) ¡ 18 ¡

  19. Dynamic Features § Millions ¡of ¡unique ¡HTML ¡tags ¡(including ¡content) ¡ § Solu>on: ¡order ¡tags ¡by ¡some ¡sta>s>c, ¡select ¡top ¡N ¡ • ACC2 ¡based ¡on ¡[Foreman, ¡2003] ¡ • Let ¡ ℬ, ¡ℳ denote ¡the ¡set ¡of ¡benign ¡and ¡malicious ¡sites ¡ respec>vely, ¡ 𝑥 ¡the ¡set ¡of ¡tags ¡from ¡a ¡site, ¡then ¡ACC2 ¡for ¡ a ¡tag ¡x ¡can ¡be ¡defined ¡as: ¡ 𝑡(𝑦) = |​|𝑦 ∈ 𝑥 : 𝑥 ∈ℳ |/| ℳ | − ​|𝑦 ∈ 𝑥 : 𝑥 ∈ℬ |/| ℬ | | ¡ ¡ ¡ ¡ 19 ¡

  20. Prominent Features After 90,000 Samples Feature ¡ Sta>s>c ¡Value ¡ meta{‘content’: ¡‘Wordpress ¡3.2.1’, ¡‘name’: ¡ 0.0569 ¡ ‘generator’} ¡ ul{‘class’: ¡[‘xoxo’, ¡‘blogroll’]} ¡ 0.0446 ¡ You ¡can ¡start ¡edi>ng ¡here. ¡ 0.0421 ¡ meta{‘content’: ¡‘Wordpress ¡3.3.1’, ¡‘name’: ¡ 0.0268 ¡ ‘generator’} ¡ /all ¡in ¡one ¡seo ¡pack ¡ 0.0252 ¡ span{‘class’: ¡[‘breadcrumbs’, ¡‘pathway’]} ¡ 0.0226 ¡ If ¡Comments ¡are ¡open, ¡but ¡there ¡are ¡no ¡ 0.0222 ¡ comments. ¡ div{‘id’: ¡‘content_disclaimer’} ¡ 0.0039 ¡ 20 ¡

  21. Varying Window Sizes Low ¡Transient ¡ High ¡Variance ¡ High ¡Transient ¡ Low ¡Variance ¡ Feature: ¡meta{‘content’: ¡‘Wordpress ¡3.2.1’, ¡‘name’: ¡‘generator’} ¡ 21 ¡ ¡

  22. CMS Evolution AYack ¡Campaign ¡ AYack ¡Campaign ¡ AYack ¡Campaign ¡ Low ¡Ac>vity ¡ 22 ¡

  23. Parking Page Feature Similar ¡value ¡over ¡1 ¡year ¡later! ¡ Feature: ¡ div{‘id’: ¡‘content_disclaimer’} ¡ 23 ¡ ¡

  24. Classification Malicious ¡ Alexa.com ¡ Archive.org ¡ Blacklists ¡ Sites ¡ Template ¡ Feature ¡ Filter ¡ Extrac>on ¡ Safe ¡Sites ¡ Zone ¡ Files ¡ Stream ¡ Classifier ¡ 24 ¡

  25. Classification § Largely ¡based ¡on ¡[Gao ¡et ¡al., ¡2007] ¡ § Break ¡input ¡data ¡stream ¡into ¡blocks ¡ § Resample ¡input ¡blocks ¡ § Train ¡ensemble ¡C4.5 ¡decision ¡tree ¡classifiers ¡ using ¡Hoeffding ¡bounds ¡[Domingos ¡et ¡al., ¡2000] ¡ § Retrain ¡periodically ¡using ¡new ¡dynamic ¡features ¡ 25 ¡

  26. Classification Results Good ¡Opera>ng ¡Point ¡ 26 ¡

  27. Limitations § Only ¡makes ¡sense ¡when ¡page ¡content ¡and ¡traffic ¡ sta>s>cs ¡are ¡risk ¡factors ¡of ¡malice ¡ • Sites ¡hacked ¡via ¡weak ¡passwords ¡or ¡via ¡social ¡ engineering ¡aYacks ¡violate ¡this ¡ • Sites ¡that ¡are ¡maliciously ¡hosted ¡may ¡violate ¡this ¡ § Requires ¡some ¡sites ¡to ¡become ¡compromised ¡in ¡ order ¡to ¡make ¡predic>ons ¡ 27 ¡

  28. Conclusions § Predic>ng ¡websites ¡that ¡become ¡malicious ¡in ¡the ¡ future ¡is ¡possible! ¡ § Acceptable ¡performance ¡can ¡be ¡achieved ¡even ¡ on ¡our ¡modest ¡dataset ¡ Kyle ¡Soska ¡– ¡ksoska@cmu.edu ¡ 28 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Is an ARC You are muted automatically. Fellowship We are recording. Turn off video, please.

Is an ARC You are muted automatically. Fellowship We are recording. Turn off video, please.

Identifier first line Second line Webinar etiquette Is an ARC You are muted automatically. Fellowship We are recording. Turn off video, please. for you? Use Q&A to ask questions. Fill out the Notice of Intent go.unimelb.edu.au/r9ta

313 views • 8 slides
Detecting annotation noise in automatically labelled data Ines Rehbein Josef Ruppenhofer IDS

Detecting annotation noise in automatically labelled data Ines Rehbein Josef Ruppenhofer IDS

Detecting annotation noise in automatically labelled data Ines Rehbein Josef Ruppenhofer IDS Mannheim/University of Heidelberg, Germany Leibniz Science Campus Empirical Linguistics and Computational Language Modeling

492 views • 11 slides
Automatically Detecting Likely Edits in Clinical Notes Created Using Automatic Speech Recognition

Automatically Detecting Likely Edits in Clinical Notes Created Using Automatic Speech Recognition

Automatically Detecting Likely Edits in Clinical Notes Created Using Automatic Speech Recognition Kevin Lybarger, M.S., Mari Ostendorf, Ph.D., Meliha Yetisgen, Ph.D. University of Washington, Seattle, WA, US Abstract The use of automatic speech

222 views • 10 slides
Inspection systems for automatically detecting defects in the surface of train axles Nigel

Inspection systems for automatically detecting defects in the surface of train axles Nigel

TECNITEST NDT Inspection systems for automatically detecting defects in the surface of train axles Nigel Thorpe www.tecnitestNDT.com TRAIN INSPECTION: Automatic UT Inspection System for Solid axles, with Phased Array UT, and Hollow axles

485 views • 20 slides
DCatch: Automatically Detecting Distributed Concurrency Bugs in Cloud Systems Haopeng Liu ,

DCatch: Automatically Detecting Distributed Concurrency Bugs in Cloud Systems Haopeng Liu ,

1 DCatch: Automatically Detecting Distributed Concurrency Bugs in Cloud Systems Haopeng Liu , Guangpu Li, Jeffrey Lukman, Jiaxin Li, Shan Lu, Haryadi Gunawi, and Chen Tian* * 2 Cloud systems 3 Cloud systems 4 Distributed concurrency bugs

1.3k views • 93 slides
Who is vulnerable to household food insecurity and what does this mean for policy and practice?

Who is vulnerable to household food insecurity and what does this mean for policy and practice?

Welcome! We will start the audio at 1pm Eastern . Audio will be broadcast over GoToWebinar automatically and all participant microphones are muted. April 13 th , 2017 1:00 2:30 PM Eastern Who is vulnerable to household food insecurity and

768 views • 63 slides
Detecting annotation noise in automatically labelled data Ines Rehbein & Josef Ruppenhofer

Detecting annotation noise in automatically labelled data Ines Rehbein & Josef Ruppenhofer

Motivation Related Work Method Experiments Conclusions Detecting annotation noise in automatically labelled data Ines Rehbein & Josef Ruppenhofer Leibniz ScienceCampus ACL 2017 Motivation Related Work Method Experiments Conclusions

782 views • 53 slides
12/6/2013 Detecting Fakes Image Forensics: Detecting Forged Photos 1.Detecting photorealistic

12/6/2013 Detecting Fakes Image Forensics: Detecting Forged Photos 1.Detecting photorealistic

12/6/2013 Detecting Fakes Image Forensics: Detecting Forged Photos 1.Detecting photorealistic graphics 2.Detecting manipulated images Photo manipulation is the application of image editing techniques to photographs in order to create an

306 views • 13 slides
Herbicides (Atrazine and 2,4-D) 25 sites in May Pathogens 113 sites in mid-July 88 sites in

Herbicides (Atrazine and 2,4-D) 25 sites in May Pathogens 113 sites in mid-July 88 sites in

Herbicides (Atrazine and 2,4-D) 25 sites in May Pathogens 113 sites in mid-July 88 sites in mid-August Chemicals and Nutrients 53 sites in September Metals 15 sites in September Total # of KRWW Sites Sampled by Year 300 248 250 231 207

723 views • 44 slides
Hardware is too important to trust U NTRUSTED C OMPUTING B ASE : blindly Detecting and Removing

Hardware is too important to trust U NTRUSTED C OMPUTING B ASE : blindly Detecting and Removing

Overcoming an Hardware is too important to trust U NTRUSTED C OMPUTING B ASE : blindly Detecting and Removing Malicious Hardware Automatically Rest of the system Matthew Hicks Murph Finnicum Samuel T. King University of Illinois

428 views • 9 slides
House Rules We encourage you to leave your video on, but you may turn it off if you prefer.

House Rules We encourage you to leave your video on, but you may turn it off if you prefer.

House Rules We encourage you to leave your video on, but you may turn it off if you prefer. Hostile Homes Audience members will be kept on Domestic Violence, the Virus mute for the duration of the event. and the Vulnerable You may type your

146 views • 10 slides
DETECTING RUMORS FROM MICROBLOGS WITH RECURRENT NEURAL NETWORKS 515030910611 INTRODUCTION

DETECTING RUMORS FROM MICROBLOGS WITH RECURRENT NEURAL NETWORKS 515030910611 INTRODUCTION

PROJECT DETECTING RUMORS FROM MICROBLOGS WITH RECURRENT NEURAL NETWORKS 515030910611 INTRODUCTION Microblogging platforms are an ideal place for spreading rumors and automatically debunking rumors is a crucial problem. False rumors are

184 views • 16 slides
Parasitic effects Snubbers and clamps Turn on and turn off effects Turn on - diode

Parasitic effects Snubbers and clamps Turn on and turn off effects Turn on - diode

Mor M. Peretz, Switch-Mode Power Supplies [5-1] Parasitic effects Snubbers and clamps Turn on and turn off effects Turn on - diode reverse recovery Turn off dI/dT effect on transistor Turn off diode forward recovery

367 views • 12 slides
Detecting Chang Detecting Changes in W s in Water ter Qua Q ualit lity i lit lit i in L

Detecting Chang Detecting Changes in W s in Water ter Qua Q ualit lity i lit lit i in L

Detecting Chang Detecting Changes in W s in Water ter Qua Q ualit lity i lit lit i in L i L L Long ong I I Islan I l and S d S d S d Soun ound d with with NERACOOS Buoy y Observations James ODonnell, Todd Fake, Kay

815 views • 26 slides
TURN REST Server API draft-uberti-behave-turn-rest-00 Justin Uberti, Google 1 Typical TURN

TURN REST Server API draft-uberti-behave-turn-rest-00 Justin Uberti, Google 1 Typical TURN

TURN REST Server API draft-uberti-behave-turn-rest-00 Justin Uberti, Google 1 Typical TURN Auth: Config TURN Password Client Server DB WebRTC JavaScript code: var iceServer = { uris: ["turn:turn.bar.com:3478?proto=udp"],

542 views • 18 slides
A practical approach to detect turn to turn shorts during superconductive magnet fabrication

A practical approach to detect turn to turn shorts during superconductive magnet fabrication

Introduction CLAS12 turn to turn short detector High resolution DC resistance A practical approach to detect turn to turn shorts during superconductive magnet fabrication Giovanni Gabrielli Supervisor: Luciano Elementi Coordinator: Emanuela

1.05k views • 62 slides
The APERTIF Long Term Archive Or: how to serve a dozen dishes ALTA, ASTRON, 2017/06/14 Hanno

The APERTIF Long Term Archive Or: how to serve a dozen dishes ALTA, ASTRON, 2017/06/14 Hanno

Netherlands Institute for Radio Astronomy The APERTIF Long Term Archive Or: how to serve a dozen dishes ALTA, ASTRON, 2017/06/14 Hanno Holties, ASTRON Roy de Goei, ASTRON Gijs Noorlander, KxA Erwin Platen, S[&]T Nico Vermaas, ASTRON

997 views • 20 slides
Series Resources Webinar Series Learner Guide Social Media Starter Kit Todays Presenters

Series Resources Webinar Series Learner Guide Social Media Starter Kit Todays Presenters

Series Resources Webinar Series Learner Guide Social Media Starter Kit Todays Presenters Lisa Bunker Social Media Librarian, Pima County Public Library (AZ) Cesar Garza Reference Librarian, Chair Social Media Team, Austin Public Library

1.17k views • 68 slides
The Future of IR Evaluation Shlomo Geva 1 Jaap Kamps 1 Carol Peters 2 Tetsuya Sakai 3 Andrew

The Future of IR Evaluation Shlomo Geva 1 Jaap Kamps 1 Carol Peters 2 Tetsuya Sakai 3 Andrew

Report on the SIGIR 2009 Workshop on The Future of IR Evaluation Shlomo Geva 1 Jaap Kamps 1 Carol Peters 2 Tetsuya Sakai 3 Andrew Trotman 1 Ellen Voorhees 4 , 5 1 INitiative for the Evaluation of XML Retrieval (INEX) 2 Cross-Language Evaluation

516 views • 47 slides
Peace Corps Masters International | Environmental Studies Sustainable Development and Climate

Peace Corps Masters International | Environmental Studies Sustainable Development and Climate

Sign Up for Free SSF Membership To Access the Webinar Archives www.securityandsustainabilityforum.org A Conversation with Keith Alverson August 19, 2014 SSF Archived Climate Solutions Webinar Series Urbanization and Growth on a Finite

398 views • 22 slides
INFRASTRUCTURE At the GHRC DAAC Will Ellett IT Manager sysadmin@itsc.uah.edu Support: Michele

INFRASTRUCTURE At the GHRC DAAC Will Ellett IT Manager sysadmin@itsc.uah.edu Support: Michele

INFRASTRUCTURE At the GHRC DAAC Will Ellett IT Manager sysadmin@itsc.uah.edu Support: Michele Garrett, Michael McEniry, Jason Toone Presented at the GHRC User Working Group Meeting September 25-26, 2014 GHRC Overview Data Systems Ingest

1.16k views • 30 slides
Learnings from a lifes work: The Doug Engelbart Archives Christina Engelbart Executive

Learnings from a lifes work: The Doug Engelbart Archives Christina Engelbart Executive

Personal Digital Archiving 2011 Learnings from a lifes work: The Doug Engelbart Archives Christina Engelbart Executive Director www.dougengelbart.org 2 B oosting our Collective IQ 1964 Story in a nutshell 1951 1962 1967 1998

432 views • 21 slides
Where the dead blogs are A Disaggregated Exploration of Web archives to Reveal Extinct Online

Where the dead blogs are A Disaggregated Exploration of Web archives to Reveal Extinct Online

Where the dead blogs are A Disaggregated Exploration of Web archives to Reveal Extinct Online Collectives Quentin Lobb (LTCI, Tlcom ParisTech, Universit Paris Saclay & Inria) 34me Confrence sur la Gestion de Donnes (BDA2018)

749 views • 30 slides
Katie Martin Darren Young BPE2019 The central platform for the docs.rockarch.org documentation

Katie Martin Darren Young BPE2019 The central platform for the docs.rockarch.org documentation

Katie Martin Darren Young BPE2019 The central platform for the docs.rockarch.org documentation of the Rockefeller Archive Center Ford Foundation grant creates positions for 3 new archivists at RAC: Katie Martin - Processing Project

739 views • 47 slides

More recommend