UiO-CERT logger alle kjøringer av prosesser på Windows maskiner på hele UiO ved hjelp av Sysmon-applikasjonen som ligger på Windows. Dermed skapes en logg over hva disse maskinene “normalt” kjører. Utfordringen er å kartlegge aktivitetsprofiler som kan monitoreres for å detektere avvikende aktivitet f.eks. som følge av angrep og kompromittering. Fokus for denne oppgaven er å generere aktivitetsprofiler på tilsvarende måte som imphash, ja3 eller hassh – og generere noe tilsvarende for prosesser kjørt på en Windows-maskin.
En tilnærming kan være å hente ut alle prosessnavn kjørt en periode, filtrerte ut kjente temp-områder og/eller signaturoppdatertinger, sorterte disse etter navn/eller frekvens og lagde en hash. Ville denne være “unik nok” til å brukes som en signatur for hva maskinen gjør, for å monitorere od detektere avvik?
Kan “fuzzy-hash” metoder som ssdeep el.l. gi bedre resultater?
Dette oppgaven gjøres i samarbeid med USIT/UiO-CERT.