spamming botnets signatures and characteris5cs xie et al
play

Spamming Botnets: Signatures and Characteris5cs Xie et al. - PowerPoint PPT Presentation

Apr 11, 2024 •448 likes •823 views

Spamming Botnets: Signatures and Characteris5cs Xie et al. Presented by Kyle Mar5n <kyle.mar5n@knights.ucf.edu> The Problems Botnets The Problems

  1. Spamming ¡Botnets: ¡Signatures ¡and ¡ Characteris5cs ¡ Xie ¡et ¡al. ¡ ¡ Presented ¡by ¡ ¡ Kyle ¡Mar5n ¡ <kyle.mar5n@knights.ucf.edu> ¡

  2. The ¡Problems ¡ • Botnets ¡

  3. The ¡Problems ¡ • Botnets ¡ • Spam ¡

  4. The ¡Problems ¡ • Botnets ¡ • Spam ¡ • Botnets ¡+ ¡Spam ¡

  5. AutoRE ¡ • Generates ¡botnet ¡spam ¡signatures ¡ • No ¡labeled ¡data ¡or ¡external ¡sources ¡required ¡ • Regular ¡Expressions ¡for ¡embedded ¡URL ¡ • Organizes ¡spam ¡into ¡groups ¡by ¡campaign ¡ • Iden5fy ¡characteris5cs ¡of ¡spam ¡botnets ¡ ¡

  6. URLs ¡and ¡Spam ¡ • Spam ¡messages ¡can ¡ contain ¡mul5ple ¡URLs ¡ • Generic ¡URLs ¡usually ¡ included ¡ • Polymorphic ¡URLs ¡

  7. Workflow ¡

  8. Grouping ¡URLs ¡ • URLs ¡grouped ¡by ¡domain ¡ • Select ¡groups ¡characterizing ¡a ¡campaign ¡ – Temporal ¡correla5on ¡ – Dis5nct ¡IPs ¡ac5ve ¡in ¡a ¡span ¡of ¡5me ¡ – Sharp ¡spikes ¡indicate ¡strong ¡correla5on ¡

  9. Genera5ng ¡Signatures ¡ • Distributed ¡ – Number ¡of ¡Autonomous ¡ Systems ¡

  10. Genera5ng ¡Signatures ¡ • Distributed ¡ – Number ¡of ¡Autonomous ¡ Systems ¡ • Bursty ¡ – Long-­‑term ¡campaign ¡ dura5ons ¡(over ¡days) ¡

  11. Genera5ng ¡Signatures ¡ • Distributed ¡ – Number ¡of ¡Autonomous ¡ Systems ¡ • Bursty ¡ – Long-­‑term ¡campaign ¡ dura5ons ¡(over ¡days) ¡ • Specificity ¡ – Probability ¡of ¡a ¡random ¡ URL ¡matching ¡

  12. Regular ¡Expression ¡Genera5on ¡ • Signature ¡Trees ¡ • Detailing ¡

  13. Regular ¡Expression ¡Genera5on ¡ • Signature ¡Trees ¡ • Detailing ¡ • Generalizing ¡ • Quality ¡Evalua5on ¡

  14. Results ¡

  15. Valida5on ¡ • Quality ¡of ¡Signatures ¡ – False ¡posi5ve ¡rate ¡

  16. Valida5on ¡ • Quality ¡of ¡Signatures ¡ – False ¡posi5ve ¡rate ¡ – Over ¡5me ¡

  17. Valida5on ¡ • Quality ¡of ¡Signatures ¡ – False ¡posi5ve ¡rate ¡ – Over ¡5me ¡ – REs ¡vs. ¡Conjuga5on ¡

  18. Valida5on ¡ • Quality ¡of ¡Signatures ¡ – False ¡posi5ve ¡rate ¡ – Over ¡5me ¡ – REs ¡vs. ¡Conjuga5on ¡ – Effect ¡of ¡generaliza5on ¡

  19. Valida5on ¡ • Quality ¡of ¡Signatures ¡ – False ¡posi5ve ¡rate ¡ – Over ¡5me ¡ – REs ¡vs. ¡Conjuga5on ¡ – Effect ¡of ¡generaliza5on ¡ • Host ¡Iden5fica5on ¡ – Based ¡on ¡long-­‑term ¡ spamming ¡history ¡

  20. Valida5on ¡ • Quality ¡of ¡Signatures ¡ – False ¡posi5ve ¡rate ¡ – Over ¡5me ¡ – REs ¡vs. ¡Conjuga5on ¡ – Effect ¡of ¡generaliza5on ¡ • Host ¡Iden5fica5on ¡ – Based ¡on ¡long-­‑term ¡ spamming ¡history ¡

  21. Valida5on ¡ • Quality ¡of ¡Signatures ¡ – False ¡posi5ve ¡rate ¡ – Over ¡5me ¡ – REs ¡vs. ¡Conjuga5on ¡ – Effect ¡of ¡generaliza5on ¡ • Host ¡Iden5fica5on ¡ – Based ¡on ¡long-­‑term ¡ spamming ¡history ¡ • Campaign ¡Iden5fica5on ¡ – Based ¡on ¡similarity ¡of ¡ URL ¡des5na5ons ¡

  22. Valida5on ¡ • Quality ¡of ¡Signatures ¡ – False ¡posi5ve ¡rate ¡ – Over ¡5me ¡ – REs ¡vs. ¡Conjuga5on ¡ – Effect ¡of ¡generaliza5on ¡ • Host ¡Iden5fica5on ¡ – Based ¡on ¡long-­‑term ¡ spamming ¡history ¡ • Campaign ¡Iden5fica5on ¡ – Based ¡on ¡similarity ¡of ¡ URL ¡des5na5ons ¡

  23. Campaign ¡Characteris5cs ¡ • IP ¡Distribu5on ¡

  24. Campaign ¡Characteris5cs ¡ • IP ¡Distribu5on ¡

  25. Campaign ¡Characteris5cs ¡ • IP ¡Distribu5on ¡

  26. Campaign ¡Characteris5cs ¡ • IP ¡Distribu5on ¡ • Per ¡Campaign ¡ – Similarity ¡of ¡content ¡

  27. Campaign ¡Characteris5cs ¡ • IP ¡Distribu5on ¡ • Per ¡Campaign ¡ – Similarity ¡of ¡content ¡ – Similarity ¡of ¡5me ¡

  28. Campaign ¡Characteris5cs ¡ • IP ¡Distribu5on ¡ • Per ¡Campaign ¡ – Similarity ¡of ¡content ¡ – Similarity ¡of ¡5me ¡ – Similarity ¡of ¡behavior ¡

  29. Campaign ¡Characteris5cs ¡ • IP ¡Distribu5on ¡ • Per ¡Campaign ¡ – Similarity ¡of ¡content ¡ – Similarity ¡of ¡5me ¡ – Similarity ¡of ¡behavior ¡ • Different ¡Campaigns ¡ – Botnets ¡with ¡similar ¡ signatures ¡

  30. Campaign ¡Characteris5cs ¡ • IP ¡Distribu5on ¡ • Per ¡Campaign ¡ – Similarity ¡of ¡content ¡ – Similarity ¡of ¡5me ¡ – Similarity ¡of ¡behavior ¡ • Different ¡Campaigns ¡ – Botnets ¡with ¡similar ¡ signatures ¡ – Sending ¡pa`ern ¡clusters ¡

  31. Campaign ¡Characteris5cs ¡ • IP ¡Distribu5on ¡ • Per ¡Campaign ¡ – Similarity ¡of ¡content ¡ – Similarity ¡of ¡5me ¡ – Similarity ¡of ¡behavior ¡ • Different ¡Campaigns ¡ – Botnets ¡with ¡similar ¡ signatures ¡ – Sending ¡pa`ern ¡clusters ¡ • Scanning ¡traffic ¡

  32. Strengths ¡ • Generates ¡botnet ¡signatures ¡without ¡labeling ¡ • No ¡external ¡services ¡required ¡ • Signatures ¡have ¡a ¡low ¡false ¡posi5ve ¡rate ¡ • Signatures ¡useful ¡for ¡characterizing ¡botnet ¡ spamming ¡behaviors ¡

  33. Weaknesses ¡ • Only ¡based ¡on ¡URLs, ¡not ¡effec5ve ¡against ¡text, ¡ images, ¡and ¡other ¡content ¡in ¡spam. ¡ • Only ¡considers ¡spam ¡observed ¡by ¡a ¡single ¡ISP, ¡ could ¡be ¡more ¡effec5ve ¡with ¡collabora5on. ¡ • Intra-­‑message ¡Polymorphic ¡URLs ¡

  34. Extensions ¡ • Non-­‑botnet ¡RE ¡signatures ¡ • A ¡centralized/distributed ¡signature ¡repository ¡ (like ¡Spamhaus) ¡ • Forming ¡RE ¡signatures ¡over ¡non-­‑URL ¡content ¡ • Composite ¡signatures ¡based ¡on ¡mul5ple ¡ content ¡types ¡(URLs, ¡text, ¡images, ¡ a`achments, ¡etc.) ¡

  35. Ques5ons ¡? ¡

  36. References ¡ [1]“62445.jpg ¡(JPEG ¡Image, ¡542 ¡× ¡330 ¡pixels).” ¡[Online]. ¡Available: ¡h`p:// • www.cisco.com/en/US/i/ 000001-­‑100000/60001-­‑65000/62001-­‑63000/62445.jpg. ¡[Accessed: ¡16-­‑ Apr-­‑2012]. ¡ [2]“botnet1.jpg ¡(JPEG ¡Image, ¡589 ¡× ¡584 ¡pixels) ¡-­‑ ¡Scaled ¡(94%).” ¡[Online]. ¡ • Available: ¡h`p://ritcyberselfdefense.files.wordpress.com/2011/09/ botnet1.jpg. ¡[Accessed: ¡15-­‑Apr-­‑2012]. ¡ [3]“spam-­‑can-­‑collec5on-­‑2009-­‑09-­‑med.jpg ¡(JPEG ¡Image, ¡1582 ¡× ¡1070 ¡ • pixels) ¡-­‑ ¡Scaled ¡(51%).” ¡[Online]. ¡Available: ¡h`p://www.alaska.net/~royce/ spam/spam-­‑can-­‑collec5on-­‑2009-­‑09-­‑med.jpg. ¡[Accessed: ¡15-­‑Apr-­‑2012]. ¡ [4]“spam.jpg ¡(JPEG ¡Image, ¡990 ¡× ¡660 ¡pixels) ¡-­‑ ¡Scaled ¡(83%).” ¡[Online]. ¡ • Available: ¡h`p://owni.fr/files/2010/05/spam.jpg. ¡[Accessed: ¡15-­‑ Apr-­‑2012]. ¡ [5] ¡Y. ¡Xie, ¡F. ¡Yu, ¡K. ¡Achan, ¡R. ¡Panigrahy, ¡G. ¡Hulten, ¡and ¡I. ¡Osipkov, ¡ • “Spamming ¡botnets: ¡signatures ¡and ¡characteris5cs,” ¡SIGCOMM ¡Comput. ¡ Commun. ¡Rev., ¡vol. ¡38, ¡no. ¡4, ¡pp. ¡171–182, ¡Aug. ¡2008. ¡ ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Spamming Botnets: Signatures and Characteristics

Spamming Botnets: Signatures and Characteristics

Spamming Botnets: Signatures and Characteristics

396 views • 18 slides
Botnets: a Growing Threat Increasing awareness, but there is a dearth of hard facts especially

Botnets: a Growing Threat Increasing awareness, but there is a dearth of hard facts especially

Studying Spamming Botnets Using BotLab Arvind Krishnamurthy Joint work with: John John, Alex Moshchuk, Steve Gribble University of Washington Botnets: a Growing Threat Increasing awareness, but there is a dearth of hard facts especially

291 views • 15 slides
BotNets BotNets- Cybe Cyber T r Torrirism orrirism Ba Batt ttling ling th the t e thr

BotNets BotNets- Cybe Cyber T r Torrirism orrirism Ba Batt ttling ling th the t e thr

BotNets BotNets- Cybe Cyber T r Torrirism orrirism Ba Batt ttling ling th the t e thr hrea eats ts of inte of intern rnet et Assoc. Prof. Dr. Sureswaran Ramadass National Advanced IPv6 Center - Director Why Talk About Botnets?

722 views • 35 slides
BotGraph: Large Scale Spamming Botnet Detection Web-account abuse attack recent spamming technic

BotGraph: Large Scale Spamming Botnet Detection Web-account abuse attack recent spamming technic

BotGraph: Large Scale Spamming Botnet Detection Web-account abuse attack recent spamming technic New different approche for sending spam Basing on reputation of email providers Difficult to detect signup detection monitoring users' activity

157 views • 15 slides
Botnets CS 598: Advanced Internet Presented by: Imranul Hoque How to Study Botnets? Passive

Botnets CS 598: Advanced Internet Presented by: Imranul Hoque How to Study Botnets? Passive

Botnets CS 598: Advanced Internet Presented by: Imranul Hoque How to Study Botnets? Passive analysis Study spam e-mail, DNS queries by bot-infected machines, DNS blacklists, analyze network traffic, etc. Infiltration Todays

686 views • 15 slides
Signatures Lecture 22 Signatures Signatures Signatures with various functionality/properties

Signatures Lecture 22 Signatures Signatures Signatures with various functionality/properties

Signatures Lecture 22 Signatures Signatures Signatures with various functionality/properties Signatures Signatures with various functionality/properties Constructions come in different flavors (well sample each flavor): Signatures

1.55k views • 131 slides
Jeffrey D. Ullman Stanford University Spamming = any deliberate action intended solely to

Jeffrey D. Ullman Stanford University Spamming = any deliberate action intended solely to

Jeffrey D. Ullman Stanford University Spamming = any deliberate action intended solely to boost a Web pages position in search- engine results. Web Spam = Web pages that are the result of spamming. SEO industry might disagree!

907 views • 44 slides
NECST laboratory BOTNETS FUNDING ETC. . @syssecproject SysSec Project:

NECST laboratory BOTNETS FUNDING ETC. . @syssecproject SysSec Project:

PHOENIX &amp; CERBERUS We haz botnets! #Honeynet2014 Stefano Schiavoni, Edoardo Colombo Federico Maggi Lorenzo Cavallaro Stefano Zanero Politecnico Di Milano &amp; Royal Hollway, University of London NECST laboratory BOTNETS FUNDING ETC.

1.28k views • 107 slides
Digital Signatures Digital Signatures And Putting It All Together Digital Signatures And

Digital Signatures Digital Signatures And Putting It All Together Digital Signatures And

Digital Signatures Digital Signatures And Putting It All Together Digital Signatures And Putting It All Together Lecture 12 Digital Signatures Digital Signatures Syntax: KeyGen, Sign SK and Verify VK . Security: Same experiment as MAC s,

1.72k views • 142 slides
BOTNETS GRAD SEC NOV 21 2017 TODAYS PAPERS BOTNETS Collection of compromised machines

BOTNETS GRAD SEC NOV 21 2017 TODAYS PAPERS BOTNETS Collection of compromised machines

BOTNETS GRAD SEC NOV 21 2017 TODAYS PAPERS BOTNETS Collection of compromised machines (bots) under unified control of an attacker (botmaster) Method of compromise decoupled from method of control Launch a worm/virus, etc.:

790 views • 16 slides
Detecting Botnets with Temporal Persistence Jaideep Chandrashekar Frederic

Detecting Botnets with Temporal Persistence Jaideep Chandrashekar Frederic

Detecting Botnets with Temporal Persistence Jaideep Chandrashekar Frederic Giroire Nina Taft Eve Schooler Mascotte project I3S (CNRS, Univ. of Nice) Intel Labs INRIA Sophia Antipolis Botnets: Why care? Botnet

888 views • 46 slides
Construction of Universal Designated-Verifier Signatures and Identity-Based Signatures from

Construction of Universal Designated-Verifier Signatures and Identity-Based Signatures from

Motivation Research Question Results Conclusion Notes Construction of Universal Designated-Verifier Signatures and Identity-Based Signatures from Standard Signatures Siamak Shahandashti 1 Rei Safavi-Naini 2 1 SCSSE &amp; CCISR, Uni

465 views • 46 slides
1 Arbitrated Digital Signatures Digital Signature Standard (DSS) US Govt approved signature

1 Arbitrated Digital Signatures Digital Signature Standard (DSS) US Govt approved signature

CPE 542: CRYPTOGRAPHY &amp; NETWORK SECURITY Digital Signatures have looked at message authentication but does not address issues of lack of trust Chapter 13 Digital Signatures digital signatures provide the ability to:

361 views • 3 slides
Bot BotNets Nets- Cy Cyber ber To Torr rriris irism Battling Battling the the threats

Bot BotNets Nets- Cy Cyber ber To Torr rriris irism Battling Battling the the threats

Bot BotNets Nets- Cy Cyber ber To Torr rriris irism Battling Battling the the threats threats of of interne internet Assoc. Prof. Dr. Sureswaran Ramadass National Advanced IPv6 Center - Director Why Talk About Botnets? Because Bot

379 views • 27 slides
Efficient Unlinkable Sanitizable Signatures from Signatures with Re-Randomizable Keys Nils

Efficient Unlinkable Sanitizable Signatures from Signatures with Re-Randomizable Keys Nils

Efficient Unlinkable Sanitizable Signatures from Signatures with Re-Randomizable Keys Nils Fleischhacker Johannes Krupp Giulio Malavolta Jonas Schneider Dominique Schr oder Mark Simkin March 7, 2016 Sanitizable Signatures

577 views • 46 slides
DiffusionRank: A Possible Penicillin for Web Spamming Haixuan Yang, Irwin King, and Michael R.

DiffusionRank: A Possible Penicillin for Web Spamming Haixuan Yang, Irwin King, and Michael R.

Introduction Related Work DiffusionRank Experiments Conclusion DiffusionRank: A Possible Penicillin for Web Spamming Haixuan Yang, Irwin King, and Michael R. Lyu Department of Computer Science &amp; Engineering The Chinese University of

1.18k views • 71 slides
Demystifying the Clinical Fellowship Experience and 4 th Y ear Experience S ession Reminders:

Demystifying the Clinical Fellowship Experience and 4 th Y ear Experience S ession Reminders:

Demystifying the Clinical Fellowship Experience and 4 th Y ear Experience S ession Reminders: Please silence your cell phones Email nsslhaexp@asha.org for all session handouts Complete your session evaluation form &amp; leave it

620 views • 42 slides
Oak Ridge National Laboratory: Research and Development Capabilities Presented at Mo-99

Oak Ridge National Laboratory: Research and Development Capabilities Presented at Mo-99

Oak Ridge National Laboratory: Research and Development Capabilities Presented at Mo-99 Topical Meeting Montreal, Quebec Chris Bryan Research Reactors Division Oak Ridge National Laboratory September 12, 2017 ORNL is managed by

510 views • 19 slides
Creating Community in Mental Health Practice Julius Lanoil Quotes 1)&quot;The way out of

Creating Community in Mental Health Practice Julius Lanoil Quotes 1)&quot;The way out of

6/27/2014 Creating Community in Mental Health Practice Julius Lanoil Quotes 1)&quot;The way out of madness is: To do useful things to contribute to the environment.&quot; (Wilson Van Dusen ) 2) &quot;We are all longing to go home to

226 views • 10 slides
BALTI BALTI MORE MORE WE KNOW WE KNOW BALTIMORE BALTIMORE WE KNOW WE KNOW DELOITTE

BALTI BALTI MORE MORE WE KNOW WE KNOW BALTIMORE BALTIMORE WE KNOW WE KNOW DELOITTE

THIS IS THIS IS BALTI BALTI MORE MORE WE KNOW WE KNOW BALTIMORE BALTIMORE WE KNOW WE KNOW DELOITTE DELOITTE 540,000 SF 540,000 SF of Deloitte transactions in the region E 1.9 Million SF 1.9 Million SF of transactions in the

358 views • 16 slides
The F word: FRAUD Agenda About Internal Audit Audit team Internal Audit office overview

The F word: FRAUD Agenda About Internal Audit Audit team Internal Audit office overview

The F word: FRAUD Agenda About Internal Audit Audit team Internal Audit office overview Fraud and Fraud Schemes Define fraud Learn about different types of fraud and fraud schemes Fraud reporting methods Audit Team Corby

509 views • 32 slides
On the Multi-User Security of Short Schnorr Signatures Jeremiah Blocki and Seunghoon Lee

On the Multi-User Security of Short Schnorr Signatures Jeremiah Blocki and Seunghoon Lee

On the Multi-User Security of Short Schnorr Signatures Jeremiah Blocki and Seunghoon Lee Department of Computer Science, Purdue University October 10, 2019 Jeremiah Blocki and Seunghoon Lee On the Multi-User Security of Short Schnorr Signatures

1.23k views • 86 slides
Topics Covered * Preparing the Self-study Paula Maxwell, PhD,

Topics Covered * Preparing the Self-study Paula Maxwell, PhD,

10/20/14 Writing the Self-Study and Conducting a Successful Site Visit CAATE Accreditation Conference October 17-18, 2014 Tampa, FL Paula

165 views • 12 slides
Expert Group Meeting on THE BEST PRACTICES IN IMPLEMENTATION OF MOBILE IDENTIFICATION (mID)

Expert Group Meeting on THE BEST PRACTICES IN IMPLEMENTATION OF MOBILE IDENTIFICATION (mID)

Expert Group Meeting on THE BEST PRACTICES IN IMPLEMENTATION OF MOBILE IDENTIFICATION (mID) 18-19 October 2016 Warsaw, Poland Ministry of Digital Affairs Expert Group Meeting on mID 1 PRESENTATION GUIDELINES: Each expert is asked to

697 views • 42 slides

More recommend