Cross-Computer Malware Detection in Digital Forensics
Master thesis
Permanent lenke
http://hdl.handle.net/11250/143928Utgivelsesdato
2010Metadata
Vis full innførselSamlinger
Sammendrag
ENGELSK: Malware poses a huge threat to society, which is heavily dependent on computer technology.
Traces of malicious activity can be identified through digital forensics techniques.
Digital forensics is performed in a semi-automatic manner. Forensic personnel have to administrate
the forensic tools and the process of searching for digital evidence on suspect,
confiscated computers. This becomes a daunting task when multiple machines are to be
analyzed and the data volumes increase. Analysis of common characteristics in a set of
multiple computers can be used to improve knowledge and to detect anomalies and thereby
malware. This Master thesis proposes a correlation method for the automatic identification
of malware traces across multiple computers. Through the use of existing digital
forensics methods and data mining techniques, correlations between multiple machines
are used to improve the efficiency and effectiveness of detecting traces of malware. NORSK: Skadelig programvare utgjør en stor trussel mot samfunnet, som er sterkt avhengig av
informasjonsteknologi. Spor av ondsinnede aktiviteter kan identifiseres gjennom digitale
etterforskningsteknikker. Digitale etterforskningsprosesser utføres i dag på en semiautomatisk
måte. Etterforskningspersonell må selv administrere verktøy og prosesser ved
å søke etter digitale bevis på mistenkelige, konfiskerte datamaskiner. Dette blir en omfattende
oppgave når flere maskiner skal analyseres og datavolumene øker. Korrelasjonsmetoder
kan benyttes for å tilføre kunnskap og for å oppdage ondsinnet programvare som
brukes i distribuerte angrep. Denne mastergradsoppgaven foreslår en korrelasjonsmetode
som automatisk identifiserer skadelig programvare på tvers av flere datamaskiner.
Ved bruk av eksisterende digital dataanalyse og datautgravingsteknikker, benyttes korrelasjoner
og linker mellom en mengde maskiner til å avsløre likhetstrekk og spor etter
skadelig programvare.