• analytics
• APT
• clustering
• cybersecurity
• malware

I sistemi di difesa tradizionali sono quasi inefficaci contro gli attacchi informatici avanzati, che sono spesso condotti manualmente, progettati per colpire il punto debole di una specifica vittima sfruttando attività di intelligence, tecnologiche e psicologiche. Inoltre, la diffusione dei dispositivi mobili li ha resi obiettivi interessanti per rubare informazioni confidenziali, e quindi il volume di malware per dispositivi mobili è cresciuto enormemente ed è diventato difficile da gestire. In questa tesi si offrono due principali contributi. Innanzitutto, si propone la prima soluzione per rilevare e prioritizzare attività di Advanced Persistent Threats (APTs), che sono attacchi informatici progettati per una specifica vittima e che sono condotti su lunghi periodi di tempo. Lavori esistenti su APTs si concentrano solo su linee guida per la prevenzione, oppure studiano specifici attacchi, mentre in questa tesi si propone il primo approccio multi-fattoriale per prioritizzare attività sospette e che è validato su dati da una rete reale di grandi dimensioni. In seguito, si propone il primo algoritmo per raggruppare famiglie di malware per dispositivi mobili che è in grado di identificare sia famiglie grandi sia famiglie di piccole dimensioni (incluse famiglie aventi un solo esemplare), e che può caratterizzare automaticamente il comportamento delle diverse famiglie di malware. In altre parole, questo è il primo algoritmo che è in grado sia di identificare e caratterizzare sia famiglie di grandi dimensioni sia di isolare campioni di nuove famiglie non viste in precedenza. Lavori esistenti considerano malware datasets di piccole dimensioni e obsoleti, oppure ignorano completamente le famiglie di malware di piccole dimensione che rappresentano i nuovi campioni su cui un analista di sicurezza dovrebbe concentrare la sua attenzione. Gli approcci proposti in questa tesi sono validati tramite esperimenti esaurienti condotti su dati reali ed eterogenei provenienti da reti di grandi dimensioni e da dataset di malware.

Traditional defense systems are almost ineffective against advanced cyberattacks, that are often human-driven, designed to hit the weakest spot of a specific victim by leveraging intelligence, technological and psychological activities. Moreover, the diffusion of mobile devices has made them interesting targets to steal confidential information, and hence the volume of mobile malware has been increasing greatly and has become hard to manage. This thesis offers two major contributions. First, we propose an original solution to detect and prioritize Advanced Persistent Threats (APTs) activities, that are advanced, human-driven, targeted cyberattacks that span over long periods of time. Existing literature on APTs only focuses on guidelines for prevention or studies of specific APT attacks, whereas we propose the first multi-factor framework to prioritize suspicious activities that is validated on data from a real large network. Then, we propose the first algorithm for grouping mobile malware families that is able to detect both large-size and small-size families (even singletons) with high confidence, and that can automatically characterize and explain the behavior of the different malware families. In other words, this is the first algorithm that is able both to identify and characterize large malware families and to effectively isolate new samples of previously unseen families. Existing works either consider small and outdated datasets, or completely ignore small-size families that are the previously unseen malware on which a security analyst should focus his attention. Extensive and thorough experimental results on real-world data and heterogeneous logs from large networks and malware datasets validate the proposed approaches.