Piattaforma di cyber intelligence: classificazione di url compromessi da malware = A cyber intelligence platform: classification of URLs compromised by malwares

Al giorno d’oggi molto spesso la rete viene utilizzata come strumento per interfacciarsi con il mondo. E’ per questo che la sicurezza informatica è uno dei temi più attuali in quanto sempre più numerosi e sofisticati attacchi vengono sferrati dai cybercriminali. Nella sicurezza informatica si utilizzano i big data come strumento per riuscire a individuare quanti più dati possibili sull’attaccante, sullo scopo dell’attacco, sul modus operandi dell’attaccante, sulle famiglie di attacco, per avere la possibilità di sventare o prevenire un attacco informatico. Tuttavia, la raccolta e la condivisione di dati, da sola, non è sufficiente a sventare le minacce informatiche. Il punto cruciale è riuscire a correlare e contestualizzare la grande quantità di dati disponibili e individuare caratteristiche simili tra diversi attacchi così da identificare pattern non facilmente individuabili. Il mio lavoro di tesi consiste nello studio e nella progettazione di un sistema di Cyber Intelligence. Tale sistema potrebbe permettere di facilitare lo studio di siti web malevoli ossia siti che contengono malware, siti di phishing, siti web che usano tecniche di finger printing, etc. Un sistema di questo tipo può rappresentare uno strumento di supporto per difendersi da attacchi informatici e per fornire assistenza sui processi decisionali degli analisti informatici. In questo modo, migliora la disponibilità di informazioni sulle minacce ed è possibile avere un overview di alto livello sugli attacchi informatici, utile a cercare di arginare ed evitare le minacce che si presentano nell’utilizzo di internet. Il sistema da me creato ha l’obiettivo di raccogliere dati, tramite un crawler, da url presenti nel database di urlhaus e contenenti malware. I dati raccolti sono stati archiviati all'interno del graph dbms Neo4j. Si tratta di un database a grafo che esalta le correlazioni che possono esserci tra i suoi nodi. Successivamente i dati sono stati analizzati per estrapolare diverse indicazioni. Attraverso questo sistema è stato possibile svolgere molteplici tipologie di analisi dalle quali ricavare informazioni non facilmente individuabili, in relazione all’obiettivo che ci si pone. Nel lavoro svolto ho voluto creare un modello predittivo che riuscisse a distinguere un sito contenente un malware inserito dal suo stesso proprietario da uno contenente un malware inserito da un utente esterno. In particolare lo studio è stato incentrato sul miglioramento della classificazione tramite l’utilizzo della struttura a grafo usata per archiviare i dati raccolti. Nel corso della tesi sono state mostrate le features utilizzate per il modello di predizione. Mi sono servito di diversi algoritmi di machine learning i quali, come mostrato dai risultati sperimentali, migliorano con l’utilizzo di features estratte dalla struttura a grafo. Gli algoritmi utilizzati mostrano un incremento dell’accuratezza media del 2% o 3% con l’utilizzo della struttura a grafo. I risultati sperimentali indicano una precisione della classificazione intorno al 83%. Nel corso della tesi sono state illustrate ulteriori analisi effettuate sui dati raccolti che mostrano l’uso del sistema di cyber intelligence.