Master of Applied Science in Computer Engineering

Abstract

Network defense is a complex field. Intrusions can come from multiple vectors and leverage any number of vulnerabilities in a computer system. Over the years, technologies have been developed to reduce outside threats. Intrusion detection systems and log aggregation solutions have been introduced to help analysts find anomalies and detect intrusions. These systems can make use of agents deployed across a network to monitor the state of the computers. On the hosts, multiple techniques can be used to detect intrusions, such as signature or anomaly-based detection algorithms. However, those solutions need a lot of tuning, skilled analysts and modern equipment. Processing host-based data is challenging, as every log, event and configuration can be looked at; this generates a significant amount of data. In digital forensics, the objective is to look at a system’s state such as its processes in memory, as well as artifacts left on the disk. This can then be used to build a timeline of events to detect and understand how a malware which compromised a workstation works, so countermeasures can be implemented. By automating this process across an entire network of live computers, it would be possible to analyze the state of those systems to look for anomalies. However, this creates significant amount of data that needs to be collected, transferred and processed. It can also require significant resources. Previous research using memory forensics have looked at host-based artifacts from the memory capture collected using virtual machine snapshots to detect malware such as rootkit and ransomware. The main challenge for remote forensic analysis is timely acquisition of the memory and its analysis. This thesis aims to propose an automated solution based on digital forensics and machine learning to detect intrusions proactively across multiple computers. The Digital Forensic – Incident Response (DFIR) tool Velociraptor was identified as the perfect tool to collect the artifacts that would be analyzed by a machine learning model. It is a lightweight platform that collects disk-based information and volatile information using the Windows API. The artifacts were collected and then analyzed by three machine learning algorithms, Isolation Forest, Random Forest and Support Vector Machine, to determine if anomalous activities were ongoing on the computer. Using this technique, Random Forest and Support Vector Machine achieved a perfect classification of the 41 malware samples used for the experiment.

La défense des réseaux est un domaine complexe. Les intrusions peuvent provenir de plusieurs vecteurs et exploiter un certain nombre de vulnérabilités dans un système informatique. Au fil des ans, des technologies ont été développées pour réduire les menaces externes. Des systèmes de détection d’intrusion et des solutions d’agrégation de journaux d’événement ont été introduits pour aider les analystes à trouver des anomalies et à détecter des intrusions. Ces systèmes peuvent utiliser des agents déployés sur un réseau pour surveiller l’état des ordinateurs. Sur les postes de travail, plusieurs techniques peuvent être utilisées pour détecter les intrusions, telles que des algorithmes de détection basés sur des signatures ou des anomalies. Cependant, ces solutions nécessitent beaucoup de réglages, des analystes qualifiés et des équipements modernes. Le traitement des données disponible sur un ordinateur est complexe, car chaque journal, événement et configuration peut être examiné; cela génère une quantité importante de données. En investigation numérique, l’objectif est d’examiner l’état d’un système tel que ses processus en mémoire, ainsi que les artefacts laissés sur le disque. Cela peut ensuite être utilisé pour créer une chronologie des événements afin de détecter et de comprendre comment les logiciels malveillants ont compromis un poste de travail, afin que des contre-mesures puissent être mises en oeuvre. En automatisant ce processus sur l’ensemble d’un réseau d’ordinateurs actifs, il serait possible d’analyser l’état de ces systèmes pour rechercher des anomalies. Cependant, cela crée une quantité importante de données qui doivent être collectées, transférées et traitées. Cela peut aussi nécessiter des ressources importantes. Des recherches antérieures utilisant l'analyse de la mémoire d’un ordinateur ont examiné les artefacts basés sur l'hôte à partir de la capture de mémoire collectée depuis la mémoire d’une machine virtuelle pour détecter les logiciels malveillants tels que les programmes malveillants furtifs et les logiciels de rançon. Le principal défi d’investigation numérique à distance est l'acquisition rapide de la mémoire et son analyse. Cette thèse vise à proposer une solution automatisée basée sur l’investigation numérique et l'apprentissage machine pour détecter les intrusions de manière proactive sur plusieurs ordinateurs. Velociraptor a été identifié comme l'outil parfait pour collecter les artefacts qui seraient analysés par un modèle d'apprentissage machine. Il s'agit d'une plate-forme légère qui collecte des informations disponibles sur le disque et dans la mémoire à l'aide de l'interface de protocole d'application Windows. Les artefacts ont été collectés puis analysés par trois algorithmes d'apprentissage machine, forêts isolées, forêts aléatoires et machine à vecteurs de support, afin de déterminer si des activités anormales étaient en cours sur l'ordinateur. Grâce à cette technique, les algorithmes forêts aléatoires et machine à vecteurs de support ont réalisé une classification parfaite des 41 échantillons de logiciels malveillants utilisés pour l'expérience.