Project

Evaluatiemodellen en technieken voor de resilience en stealth van softwareprotecties en malware

Looptijd
01-01-2018 → 31-12-2021
Financiering
Fonds voor Wetenschappelijk Onderzoek - Vlaanderen (FWO)
Onderzoeksdisciplines
  • Natural sciences
    • Computer system security
Trefwoorden
malware softwareprotectie stealth resilience evaluatie sterkte
 
Projectomschrijving

Softwareprotecties worden ten goede ingezet om assets te beschermen tegen aanvallen erop en ten kwade om malware te verbergen en te beschermen tegen analyses. Het is algemeen aanvaard dat de sterkte van protecties bepaald wordt door drie aspecten: potency, resilience, en stealth. Potency kreeg in het verleden al veel aandacht in onderzoek en er werden diverse metrieken voorgesteld om potency te meten. Resilience en stealth kregen daarentegen weinig aandacht tot nog toe. Er bestaan kwalitatieve noch kwantitatieve evaluatiemethodologiën die voldoen voor beide aspecten, laat staan predictieve modellen voor gebruik in beslissingsprocessen van gebruikers van protectietools en malware-analysetools. 

Onze centrale hypothese is dat predictieve, kwantitatieve modellen van beide aspecten kunnen ontwikkeld worden voor beide gebruiksscenario's, ook al verschillen de randvoorwaarden in die scenario's. Dit project zal als eerste project systematisch en hollistisch resilience en stealth bestuderen voor een brede waaier aan protectietechnieken, waaronder obfuscaties maar ook andere technieken. Op basis van recente ontwikkelingen op het vlak van automatische de-obfuscatie met behulp van invariantie en semantische relevantie zullen we kwantitatieve modellen ontwikkelen om te voorspellen hoe efficiënt en effectief autoamtische en manuele aanvallen zijn voor het identificeren, ongedaan maken, en omzeilen van protecties en geïnjecteerde malware. Daarmee zullen we beslissingsondersteuningssystemen kunnen bouwen, alsook verbeterde toolboxes voor de analyse van malware. 

Om genoeg samples te verzamelen plannen we gecontrolleerde experimenten met zowel studenten als professionele pentesters. De gebruikte methodes omvatten o.a. literatuurstudie met kwalitatieve analyses zoals open coding, gecontrolleerde experimenten met kwalitatieve en kwantitatieve analyses, machinaal leren, en de evaluatie van state-of-the-art tools en technieken op representatieve industriële casi en honderdduizenden malwaresamples.