FenixEdu™

Dissertação

Detection of Botnet Activity via Machine Learning EVALUATED

Detalhes: Ataques de botnets têm sempre sido um grande problema para empresas e organizações lidarem uma vez que estas estão envolvidas em variados tipos de atividades maliciosas com o propósito de causar danos e roubar informação. Neste trabalho, analisámos logs de rede de conexões de botnets e criámos um sistema capaz de detetar esta atividade maliciosa utilizando técnicas de aprendizagem supervisionada. A ferramenta criada não só serve para detetar estes comportamentos maliciosos na rede como também é útil para analistas forenses usarem na deteção de outros ataques relacionados com bonets como a exfiltração de dados. Criámos dois cenários onde misturamos conexões normais e maliciosas que serão usados para avaliar o sistema. No primeiro cenário, testámos o sistema com apenas uma botnet presente na rede visto que, é o cenário mais próximo da realidade. No segundo cenário, misturámos conexões normais com múltiplas botnets para testar a viabilidade de uma abordagem de machine learning na deteção de vários padrões diferentes ao mesmo tempo. No final, apresentamos um exemplo de uma aplicação prática do sistema com um módulo chamado Decider. O Decider escolhe as máquinas que acha que têm mais probabilidade de estarem comprometidas na rede, baseando a sua decisão nos resultados provenientes do algoritmo de classificação. A arquitetura da solução foi feita para ser estendida de maneira a ser possível usar-se dados de outras fontes de informação como logs de acesso a ficheiros e de login que permitirá criar um aglomerado de informação útil que melhore os resultados da deteção.
Keywords: Botnets, Machine Learning, Segurança de Informação, Exfiltração de dados

Discussão: novembro 8, 2018, 13:0