Identificando algoritmos de clave simétrica utilizando CNN en el rastro del procesador Intel
Autores: Yang, Wooyeol; Park, Yongsu
Idioma: Inglés
Editor: MDPI
Año: 2021
Acceso abierto
Artículo científico
2021
Identificando algoritmos de clave simétrica utilizando CNN en el rastro del procesador Intel
Categoría
Ingeniería y Tecnología
Subcategoría
Ingeniería Eléctrica y Electrónica
Palabras clave
Malware
Ransomware
Cifrado
Ingeniería inversa
Tecnología de aprendizaje profundo
CNNs
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 34
Citaciones: Sin citaciones
El malware y el ransomware suelen estar cifrados para proteger su propio código, lo que dificulta aplicar ingeniería inversa para analizarlos. Últimamente, se han realizado diversos estudios para identificar algoritmos de criptografía en malware o ransomware que utilizan tecnología anti-reversing mediante la tecnología de aprendizaje profundo. En particular, las CNN (redes neuronales convolucionales) son algoritmos de aprendizaje profundo con un rendimiento superior, en comparación con los algoritmos de aprendizaje automático existentes en la clasificación de imágenes. En los casos de archivos maliciosos a los que se aplican técnicas anti-depuración o técnicas anti-DBI (instrumentación binaria dinámica), si se extraen las trazas utilizando varios depuradores o DBI, las trazas se interrumpen debido a estas técnicas. El IPT (traza del procesador Intel) tiene la ventaja de extraer una traza precisa de un programa al evitar la técnica anti-depuración o anti-DBI. Este documento presenta un método novedoso para identificar los algoritmos de clave simétrica aplicando una CNN a las trazas extraídas del IPT. El IPT interrumpe mínimamente la ejecución del software. Primero, se extrae la traza cifrada por los algoritmos de clave simétrica utilizando el IPT. Luego se convierte en una imagen para ser una entrada en la CNN. Se realizaron experimentos con dos conjuntos de datos diferentes. El primer conjunto de datos contenía trazas extraídas por diferentes tipos de algoritmos de clave simétrica, y los resultados de entrenamiento se clasificaron en nueve clases con un 100% de precisión. El segundo conjunto de datos contenía trazas que incluían los diversos tamaños de bits de las claves de seguridad y los modos de cifrado por bloques para cada tipo de algoritmo de clave simétrica. Los resultados de entrenamiento se clasificaron en 36 clases con una precisión del 70,55%. Mientras que estudios anteriores han identificado los tipos de algoritmos de cifrado, este estudio empleó una CNN para identificar también la cantidad de bits clave y los modos de cifrado por bloques.
Descripción
El malware y el ransomware suelen estar cifrados para proteger su propio código, lo que dificulta aplicar ingeniería inversa para analizarlos. Últimamente, se han realizado diversos estudios para identificar algoritmos de criptografía en malware o ransomware que utilizan tecnología anti-reversing mediante la tecnología de aprendizaje profundo. En particular, las CNN (redes neuronales convolucionales) son algoritmos de aprendizaje profundo con un rendimiento superior, en comparación con los algoritmos de aprendizaje automático existentes en la clasificación de imágenes. En los casos de archivos maliciosos a los que se aplican técnicas anti-depuración o técnicas anti-DBI (instrumentación binaria dinámica), si se extraen las trazas utilizando varios depuradores o DBI, las trazas se interrumpen debido a estas técnicas. El IPT (traza del procesador Intel) tiene la ventaja de extraer una traza precisa de un programa al evitar la técnica anti-depuración o anti-DBI. Este documento presenta un método novedoso para identificar los algoritmos de clave simétrica aplicando una CNN a las trazas extraídas del IPT. El IPT interrumpe mínimamente la ejecución del software. Primero, se extrae la traza cifrada por los algoritmos de clave simétrica utilizando el IPT. Luego se convierte en una imagen para ser una entrada en la CNN. Se realizaron experimentos con dos conjuntos de datos diferentes. El primer conjunto de datos contenía trazas extraídas por diferentes tipos de algoritmos de clave simétrica, y los resultados de entrenamiento se clasificaron en nueve clases con un 100% de precisión. El segundo conjunto de datos contenía trazas que incluían los diversos tamaños de bits de las claves de seguridad y los modos de cifrado por bloques para cada tipo de algoritmo de clave simétrica. Los resultados de entrenamiento se clasificaron en 36 clases con una precisión del 70,55%. Mientras que estudios anteriores han identificado los tipos de algoritmos de cifrado, este estudio empleó una CNN para identificar también la cantidad de bits clave y los modos de cifrado por bloques.