Document details

Development of a botnet detection system

Author(s): Lino, Fábio Blessa Fernandes cv logo 1

Date: 2009

Persistent ID: http://hdl.handle.net/10773/2194

Origin: RIA - Repositório Institucional da Universidade de Aveiro

Subject(s): Engenharia de computadores; Redes de computadores; Tráfego de redes; Redes neuronais; Segurança informática


Description
O tráfego ilícito é um dos maiores problemas da segurança em redes. É necessária uma estratégia global contra esta ameaça, uma vez que este problema pode afectar a economia gerada pela internet a um nível global nos próximos anos. As técnicas tradicionais de detecção de computadores zombie, como antivírus, firewalls e anti-spywares não são eficientes contra esta ameaça. A principal razão para este fracasso é a limitação imposta pelas metodologias tradicionais face ás novas ameaças que constantemente aparecem. Para ultrapassar esta limitação, propomos uma nova abordagem diferente dos actuais sistemas de detecção de intrusões, que conjugada com os métodos tradicionais pode garantir um nível elevado de segurança. Esta nova abordagem é baseada na identificação de padrões de tráfego de rede. Cada serviço de rede tem uma característica que o define e, sendo assim, podemos tirar partido desse facto para identificar o tráfego ilícito correspondente a botnets e outros malwares. Para identificar o que é tráfego ilícito e o que é lícito, é usada uma Rede Neuronal Artificial que é treinada para identificar os padrões de tráfego de rede correspondentes ao tráfico ilícito. Depois de identificado o tráfego ilícito, o sistema proposto neste trabalho vai gerar alarmes que alertarão o administrador do sistema em caso de identificação de computadores zombie ou infectados. O próximo passo será tomar uma medida preventiva, que pode ir desde bloquear o endereço IP correspondente a essa máquina até colocá-la sob um nível de vigilância extra. Os resultados obtidos mostram que esta metodologia de identificação de tráfego ilícito é uma técnica possível de ser usada no dia-a-dia devido à sua elevada taxa de identificação e à sua baixa carga computacional. Esta técnica pode identificar problemas actualmente indetectáveis pelas metodologias vulgarmente usadas. ABSTRACT: Illicit traffic is one of the major issues in network security. A strategy for a global partnership against it is needed in order to avoid illicit traffic from becoming a serious threat to the Internet economy and to global security in the forthcoming years. Traditional Zombie detection techniques, such as antivirus, firewalls and anti-spyware are not effective against this threat. The main reason for this failure is the limitation of these traditional methodologies to detect new threats. To overcome this limitation, we propose a new intrusion detection approach that works together with traditional methods in order to ensure a higher level of protection/security. This new approach is based on the identification of traffic patterns. Each network service, as well as illicit traffic corresponding to botnets and other malwares, has a characteristic traffic pattern that can univocally identify it. In order to decide which network traffic is illicit or licit, we use an Artificial Neural Network that is trained to identify the illicit patterns. After identifying the illicit traffic, the proposed system will generate alarms to the system administrator in order to alert him about a Zombie or an infected computer. After this identification phase, the system administrator can take a security action, like blocking the corresponding IP Address or putting it under a deeper surveillance. The results obtained show that this is a feasible and efficient methodology, since it provides high detection rates with low computational overhead. So, we believe that this methodology can be an emergent technique that will deal with untraceable threats that current methodologies are unable to deal with. Mestrado em Engenharia de Computadores e Telemática
Document Type Master Thesis
Language English
Advisor(s) Ferreira, Paulo Jorge Salvador Serra; Nogueira, António Manuel Duarte
delicious logo  facebook logo  linkedin logo  twitter logo 
degois logo
mendeley logo

Related documents


    Financiadores do RCAAP

Fundação para a Ciência e a Tecnologia Universidade do Minho   Governo Português Ministério da Educação e Ciência PO Sociedade do Conhecimento (POSC) Portal oficial da União Europeia