Séminaire SoSySec : Ransomware Detection Using Markov Chain Models Over File Headers

Seminar
Starting on
Ending on
Location
IRISA Rennes
Room
Pétri/Turing
Speaker
David Lubicz (DGA MI)

In this paper, a new approach for the detection of ransomware based on the runtime analysis of their behaviour is presented. The main idea is to get samples by using a mini-filter to intercept write requests, then decide if a sample corresponds to a benign or a malicious write request. To do so, in a learning phase, statistical models of structured file headers are built using Markov chains. Then in a detection phase, a maximum likelihood test is used to decide if a sample provided by a write request is normal or malicious. We introduce new statistical distances between two Markov chains, which are variants of the Kullback-Leibler divergence, which measure the efficiency of a maximum likelihood test to  distinguish between two distributions given by Markov chains. This distance and extensive experiments are used to demonstrate the relevance of our method.

----------------------------------------------------------------------
Pour assister au séminaire par visio-conférence, les coordonnées sont les suivantes :
- utilisateurs internes : https://visio.inria.fr (<login>@inria.fr)
puis "Se réunir" : sosysecatvisio [*] inria [*] fr (PIN: 2526)
- utilisateurs externes :
https://visio.inria.fr/invited.sf?secret=6c6WWD7FAobb9SztAAVWag&id=4272…
- depuis un terminal de visio-conférence: appeler visio.inria.fr puis
entrer le numéro de la conférence : 427271061# (PIN: 2526#)
- par téléphone : +33 4 92 38 77 88 (77788), puis entrer 427271061#
(PIN: 2526#)
----------------------------------------------------------------------

Séminaire en présentiel ouvert à tous mais avec inscription obligatoire au moins 48h à l'avance pour *tous* les participants (internes comme externes) auprès de Nadia Derouault nadia [*] derouaultatinria [*] fr (<)nadia [*] derouaultatinria [*] fr>. Les participants externes devront se présenter à l'accueil avec une pièce d'identité.
En cas d'assistance exceptionnellement nombreuse, il pourra être obligatoire de présenter un pass sanitaire valide pour accéder à la salle. Dans une telle éventualité les personnes inscrites seront contactées.

Vous pouvez vous abonner à nos annonces de séminaires :
https://sympa.inria.fr/sympa/subscribe/sosysec
et consulter la liste des exposés passés et à venir :
https://seminaires-dga.inria.fr/seances-a-venir/