Um estudo sobre a identficação de botnets geradoras de DDoS pelo processo de grafos causais
Resumo
Resumo: A Internet disponibiliza serviços de rede tendo sido seu crescimento impulsionado pelo emprego de dispositivos com acesso a essa grande rede de computadores, como tablets, smartphones e outros. O principal serviço de rede oferecido pela Internet é a conectividade, isto é, ela permite que dispositivos com características distintas troquem dados. A troca de dados segue protocolos por aplicações finais, como de mensagem instantânea, correio eletrônico e navegadores. A falha na conectividade gerada por ataques a esses protocolos causa um impacto negativo em diferentes setores da sociedade, como financeiro e até mesmo político. Dentre os diversos ataques existentes na Internet, os ataques distribuídos de negação de serviço (do inglês, Distributed Denial of Service - DDoS) têm se mostrado um dos mais desafiadores, tendo como objetivo comprometer o acesso a serviços oferecidos na Internet. Nesse ataque, diversos dispositivos são infectados (bots) e coordenados em rede (botnet) para executar ações maliciosas, tais como gerar uma sobrecarga contra as redes e servidores esgotando seus recursos e indisponibilizado seus serviços. Vários trabalhos na literatura abordam a detecção de botnets. A maioria deles detecta as botnets através do uso de aprendizado de máquina, onde classificadores treinados com o comportamento considerado normal da rede detectam alguma anomalia. O treinamento desses classificadores assume um estado pré-determinado da rede defendida e seus dispositivos. Isto torna essas abordagens inviáveis dependendo do tamanho e do comportamento geral dos dispositivos da rede, como a entrada e a saída constante de dispositivos. Outras abordagens utilizam o cálculo de entropia ou mesmo o cálculo do coeficiente de correlação de Pearson para diferenciar um ataque DDoS de um aumento repentino no tráfego da rede. Este trabalho estuda a eficácia do uso do processo causal em grafos (do inglês, Causal Graph Process - CGP) na detecção e identificação de botnets. O CGP é fundado em autorregressão aplicada sobre séries temporais, contendo observações de dados gerados por dispositivos durante um período para estimar a estrutura de relacionamento entre eles. As estruturas de relacionamento entre os dispositivos estimadas pelo CGP auxiliam na identificação de uma botnet sem a necessidade de conhecimento prévio da estrutura da rede. O CGP é aplicado em quatro bases de dados diferentes referentes a cenários de ataques DDoS distintos. Os resultados mostram que o CGP identifica as botnets em um curto período após o início do ataque, o que possibilita a identificação e a tomada de contramedidas de forma online, isto é, de forma que o CGP possa ser aplicado continuamente na rede para a identificação dos bots. Os trabalhos futuros terão foco na otimização do algoritmo para a identificação de botnets. Palavras-chave: Processamento de Sinais, Segurança de Redes, Botnet, Ataque de Negação de Serviço Distribuído. Abstract: The Internet provides network services and its growth has been supported by the increasing popularization of mobile devices, such as tablets, smartphones, and others, having access to the wide computer network. The main network service provided by the Internet is connectivity. This allows heterogeneous devices to exchange data through protocols. The protocols allow end-to-end applications, such as instant messaging, e-mail and browsing, to exchange data. Thus, connectivity failures caused by an attack against these protocols generate great impact in many society sectors, such as financial and political. Among the several existent threats on the Internet, one of the most challenging is the Distributed Denial of Service (DDoS) attack. Its goal is to compromise access to services provided on the Internet. In this attack, the attacker uses several infected hosts (bots) coordinated in a network (botnet) to perform malicious activities, such as coordinating an overload against networks and servers, running out its resources and making it unavailable. There are several approaches in the literature to detect botnets. Most of the approaches detect botnet activity by Machine Learning methods, in which a classifier is trained with the normal network behavior to detect anomalies. The training of these classifiers lies in the main assumption that the network behavior is always the same. Thus, these approaches are not feasible to defend a network depending on its size and its behavior, such as the constant network devices input and output. Other approaches use the entropy of the network behavior or even the Pearson correlation coefficient to discriminate a DDoS attack behavior from a flash-crowd event. This work investigates the use of Causal Graph Process in the detection and identification of botnets. CGP is based on an autoregression over temporal series containing observations generated by hosts to estimate the relationship structure between hosts. The relationship between hosts, estimated by the CGP, assists in botnet identification process. CGP does not require prior knowledge about the network. It is applied on four different datasets containing distinct DDoS attack scenarios. Results show that the CGP is able to assist in the botnet detection shortly after the attack starts, allowing online countermeasures to take part in the defense system. Future works will take place on enhancing CGP to identify botnets. Keywords: Signal Processing on Graphs, Computer Networks, Network Security, Botnet, Distributed Denial of Service
Collections
- Dissertações [355]