Examinan encabezados HTTP para la detección de tráfico malicioso
El investigador brasileño Rodrigo Montoro de Trustwave, estudia la posibilidad de analizar los encabezados HTTP (Hypertext Transfer Protocol) para detectar tráfico malicioso en Internet y la comunicación de máquinas infectadas con los sitios de “C&C – Command and Control Server”.
Según Montoro, las conexiones maliciosas tienden a causar un comportamiento diferente en el tráfico HTTP. Como por ejemplo, reutilizan códigos compartidos y frecuentemente, emplean encabezados cuyo uso es poco frecuente o inexistente.
De este modo, el tráfico sospechoso por lo general tiene encabezados parciales, que suelen ser más pequeños que los convencionales. En este sentido, la cabecera de tipos poco comunes puede ser un indicio de tráfico malicioso.
El método de detección propuesto por Montoro se basa en un sistema de «scoring» y le asigna un valor numérico a la lista de comportamientos considerados sospechosos. Cuanto más alto sea el puntaje, mayor es la probabilidad de un tráfico malicioso. «Existe una nota límite a partir de la cual el tráfico se puede clasificar como normal o malicioso», explica.
En ensayos preliminares con tráficos maliciosos conocidos, Montoro analizó 6,127 canales de flujo de datos («streams»), en los cuales el sistema de puntuación pudo detectar en el 89.1% de los sitios, algún tipo de tráfico infeccioso. El sistema tuvo una tasa de falsos positivos de alrededor del 9% y la meta es reducirla a menos del 2%.
En la actualidad, la detección de malware en los encabezados HTTP se encuentra en fase de prueba de concepto en SpiderLabs. Más adelante, los resultados de la detección darán lugar a la oferta de un filtro de contenido web o puede generar una solución que se integre en un WAF (Web Application Firewall).
