Dissertação

{en_GB=Detection of Botnet Activity via Machine Learning} {} EVALUATED

{pt=Ataques de botnets têm sempre sido um grande problema para empresas e organizações lidarem uma vez que estas estão envolvidas em variados tipos de atividades maliciosas com o propósito de causar danos e roubar informação. Neste trabalho, analisámos logs de rede de conexões de botnets e criámos um sistema capaz de detetar esta atividade maliciosa utilizando técnicas de aprendizagem supervisionada. A ferramenta criada não só serve para detetar estes comportamentos maliciosos na rede como também é útil para analistas forenses usarem na deteção de outros ataques relacionados com bonets como a exfiltração de dados. Criámos dois cenários onde misturamos conexões normais e maliciosas que serão usados para avaliar o sistema. No primeiro cenário, testámos o sistema com apenas uma botnet presente na rede visto que, é o cenário mais próximo da realidade. No segundo cenário, misturámos conexões normais com múltiplas botnets para testar a viabilidade de uma abordagem de machine learning na deteção de vários padrões diferentes ao mesmo tempo. No final, apresentamos um exemplo de uma aplicação prática do sistema com um módulo chamado Decider. O Decider escolhe as máquinas que acha que têm mais probabilidade de estarem comprometidas na rede, baseando a sua decisão nos resultados provenientes do algoritmo de classificação. A arquitetura da solução foi feita para ser estendida de maneira a ser possível usar-se dados de outras fontes de informação como logs de acesso a ficheiros e de login que permitirá criar um aglomerado de informação útil que melhore os resultados da deteção., en=Botnet attacks have always been a serious problem for companies and organizations to deal with since they can engage in all sorts of malicious activity with the purpose of causing damage and stealing information from compromised machines. In this work we analyzed network trace logs from botnet connections and created a system that is capable of detecting this kind of activity leveraging a supervised machine learning approach. This created tool not only detects abnormal network behavior but it can be also used to aid forensic analysts in the detection of other related botnet attacks such as data exfiltration. We created two scenarios mixing normal and abnormal activity in the network in order to evaluate the system. In the first scenario, we tested the detector with only one botnet present, since it is the scenario that is closest to reality. In the second scenario, we mixed normal traffic with multiple types of botnets to see if it is viable for a machine learning system to detect so many patterns at once. In the end, we present an example of a practical application of the detector with a module called Decider. The Decider chooses the machines that are most likely compromised in a network basing its decision on the results from the classifier algorithm. The solution's architecture was made to be extended in order to use information from other data sources such as file access and login logs to create clusters of information that allows the improvement of overall detection results.}
{pt=Botnets, Machine Learning, Segurança de Informação, Exfiltração de dados, en=Botnets, Machine Learning, Information Security, Data Exfiltration}

Novembro 8, 2018, 13:0

Orientação

ORIENTADOR

Pedro Miguel dos Santos Alves Madeira Adão

Departamento de Engenharia Informática (DEI)

Professor Auxiliar