Resumen

El malware APT explota HTTP para establecer comunicación con un servidor C & C y así ocultar sus actividades maliciosas. Por lo tanto, la infección de malware APT basada en HTTP puede ser descubierta analizando el tráfico HTTP. Métodos recientes han dependido de la extracción de características estadísticas del tráfico HTTP, lo cual es adecuado para el aprendizaje automático. Sin embargo, las características que extraen del limitado conjunto de datos de tráfico de malware APT basado en HTTP son demasiado simples para detectar el malware APT con suficiente aleatoriedad. En este documento, proponemos un enfoque innovador que podría descubrir el tráfico de malware APT relacionado con la exfiltración de datos y otras actividades sospechosas de APT mediante el análisis de los campos de encabezado del tráfico HTTP. Utilizamos el campo Referer en el encabezado HTTP para construir un grafo de solicitudes web. Luego, optimizamos el grafo de solicitudes web combinando la similitud de URL y la reconstrucción de redirección. También utilizamos un filtro de

• Materias:Cifrado de búsqueda Seguridad informática Reconstrucción virtual Detección de intrusos Sistema de programación
• Subjects:Search encryption Computer security Virtual reconstruction Intrusion detection Programming system
• Palabras claves:Malware; Http; Tráfico; Análisis; Detección; Método
• Keywords:Malware; Http; Traffic; Analysis; Detection; Method