BotFetcher: Um Método Híbrido de Detecção de Botnets
Resumo
Este trabalho apresenta BotFetcher, um método híbrido para detecção de botnets que considera técnicas de agrupamento e processamento de sinais em grafos. Botnets representam uma ameaça a redes de computadores, pois podem interromper seus serviços na Internet através da coordenação entre uma quantidade massiva de dispositivos infectados (bots), com prejuízos globais estimados em US$ 5,8 bilhões em 2019. BotFetcher contribui para a detecção em escala de botnets, principalmente aquelas formadas por dispositivos da IoT infectados, como as botnets Mirai, Hydra e LuaBot. A detecção dessas botnets é desafiadora devido à quantidade massiva de dados e às limitações de processamento e memória. Assim, BotFetcher agrupa os dispositivos de rede com base em características extraídas do tráfego e realiza a detecção por grupo a partir de indícios de causalidade entre os dispositivos. A avaliação do método teve como entrada a base de dados CTU-13 da Universidade da República Tcheca. BotFetcher detectou o bot no cenário 5 da base CTU-13, com 55 falsos-positivos e nenhum falso-negativo, entre os 39738 nós avaliados.
Referências
Binkley, J. R. and Singh, S. (2006). An algorithm for anomaly-based botnet detection. In Conference on Steps to Reducing Unwanted Traffic on the Internet, Berkeley, CA.
Chowdhury, S., Khanzadeh, M., Akula, R., Zhang, F., Zhang, S., Medal, H., Marufuzzaman, M., and Bian, L. (2017). Botnet detection using graph-based feature clustering. Journal of Big Data, 4(1):1–14.
Cisco (2018). Visual Networking Index Complete Forecast Highlights. Disponı́vel em: https://www.cisco.com/c/dam/m/en_us/solutions/service-provider/vni-forecast-highlights/pdf/Global_ Device_Growth_Traffic_Profiles.pdf. Acessado em 22/12/2019.
Costa, V. G. T. d., Zarpelão, B. B., Miani, R. S., and Junior, S. B. (2018). Online detection of botnets on network flows using stream mining. SBC.
Daya, A. A., Salahuddin, M. A., Limam, N., and Boutaba, R. (2019). A Graph-Based Machine Learning Approach for Bot Detection. 2019 IFIP/IEEE Symposium on Integrated Network and Service Management (IM), pages 144–152.
Ferreira, A. E. G. and Nogueira, M. (2018). Identificando botnets geradoras de ataques ddos volumétricos por processamento de sinais em grafos. In Anais do Workshop de Gerência e Operação de Redes e Serviços, Porto Alegre, RS, Brasil. SBC.
Garcı́a, S., Grill, M., Stiborek, J., and Zunino, A. (2014). An empirical comparison of botnet detection methods. Computers & Security, 45:100–123.
Karasaridis, A., Rexroad, B., and Hoeflin, D. (2007). Wide-scale botnet detection and characterization. In Conference on First Workshop on Hot Topics in Understanding Botnets, pages 1–7, Berkeley, CA, USA. USENIX Association.
Kohonen, T. (2013). Essentials of the self-organizing map. Neural Networks, 37:52–65.
Kolias, C., Kambourakis, G., Stavrou, A., and Voas, J. (2017). DDoS in the IoT: Mirai and other botnets. Computer, 50(7):80–84.
Lagraa, S., Francois, J., Lahmadi, A., Miner, M., Hammerschmidt, C., and State, R. (2017). Botgm: Unsupervised graph mining to detect botnets in traffic flows. In Cyber Security in Networking Conference (CSNet). IEEE.
Lan, K.-C., Hussain, A., and Dutta, D. (2009). The effect of malicious traffic on the network. Proc. Passive and Active Measurement Wksp. (PAM).
Mahmoud, M., Nir, M., and Matrawy, A. (2015). A Survey on botnet architectures, detection and defences. International Journal of Network Security, 17(3):272–289.
Mei, J. and Moura, J. M. F. (2017). Signal processing on graphs: Causal modeling of unstructured data. IEEE Transactions on Signal Processing, 65(8):2077–2092.
Miniwatts Marketing Group (2019). Internet Usage Statistics - World Internet Users and 2019 Population Stats. Disponı́vel em: https://www.internetworldstats.com/stats.htm. Acessado em 02/12/2019.
Mirkovic, J., Prier, G., and Reiher, P. (2002). Attacking ddos at the source. In IEEE International Conference on Network Protocols, 2002., pages 312–321.
Moussa, A. A., Nogueira, M., and Guedes, A. L. (2019). Seleção Online de Features em Streaming Baseada em Alpha-investing para Ataques DDoS. In WGRS. SBC.
Rapid7 (2017). WannaCry Update: Vulnerable SMB Shares Are Widely Deployed And People Are Scanning For Them (Port 445 Exploit). Acessado em 24/12/2019.
Sandryhaila, A. and Moura, J. M. F. (2013). Discrete signal processing on graphs. IEEE Transactions on Signal Processing, 61(7):1644–1656.
Symantec (2013). Snapshot of Virut Botnet After Interruption. Disponı́vel em: https://www.symantec.com/connect/blogs/snapshot-virut-botnet-after-interruption. Acessado em 18/12/2019.
