Um sistema para detecção online de botnets com identificação de mudanças de conceito

Abstract

Resumo: A Internet disponibiliza serviços de rede e seu crescimento vem sendo intensificado pela ascensão do uso de dispositivos da IoT. O aperfeiçoamento na infraestrutura de comunicação e a heterogeneidade dos dispositivos têm potencializado os problemas de segurança em redes. Um dos problemas consiste nas botnets (i.e., redes de dispositivos infectados), as quais possuem a capacidade de gerar ataques maciços por meio de dispositivos infectados (bots). Os ataques gerados por botnet são variados, como negação de serviços, phishing e spam. De forma geral, os ataques afetam os usuários, os serviços ou as infraestruturas de rede. Vários trabalhos na literatura tratam a detecção de botnets. Uma vertente desses trabalhos detecta botnets por meio do uso de aprendizado de máquina, onde classificadores são treinados com o comportamento considerado normal da rede e dessa forma conseguem identificar anomalias no comportamento do tráfego. O treinamento desses classificadores assume um estado pré-determinado da rede sem dispositivos infectados. Isto torna inviável o uso dessas abordagens dependendo do tamanho da rede e do comportamento geral dos dispositivos, como a entrada e a saída constante de dispositivos. Outra vertente utiliza o cálculo de entropia ou mesmo de coeficientes de correlação para diferenciar o tráfego de ataque e o tráfego normal. Este trabalho apresenta TRUSTED, um sistema para a detecção online não supervisionada de botnets, que identifica os dispositivos infectados de forma antecipada ou no momento do ataque. Através da detecção de mudança de conceitos e um algoritmo de clustering, o sistema provê um aprendizado não supervisionado e identifica dispositivos infectados que estão trafegando na rede. Isso implica em dizer que o sistema não necessita de conhecimento prévio das características do fluxo da rede, de assinaturas de ataque ou de treinamento prévio de modelos de classificação para identificação das botnets. A avaliação do sistema TRUSTED segue uma abordagem orientada a traços, utilizando as bases de dados Botnet 2014 e CTU-13. Ambas as bases contêm traços de rede com tráfego benigno e tráfego maligno rotulados. Dessa forma, a partir dessas bases são extraídos valores das características dos fluxos de redes para as avaliações offline e online. A partir do conjunto de valores extraídos é feita a construção de um bloco de dados, que contempla o conjunto de valores mais recentes obtidos na rede para análise. Este serve de entrada para a identificação de mudanças de conceito e a detecção de dispositivos infectados. Os resultados mostram a viabilidade do sistema por meio da avaliação empírica das variáveis do sistema e da comparação com as estratégias FIXA e ARF (supervisionada). Além disso, entre todos os cenários avaliados, os resultados de acurácia variam entre 75% e 98%. Comparando estes resultados com as estratégias FIXA e ARF, o sistema TRUSTED superou a estratégia FIXA em todos os resultados, contudo a estratégia ARF obteve melhores resultados na avaliação offline. Na avaliação online o sistema TRUSTED também superou a estratégia ARF na maioria dos cenários.

Abstract: The Internet provides network services and its growth is intensified by the rise in the use of IoT devices. The improvement in the communication infrastructure and the heterogeneity of the devices have potencialized network security issues. One of the greatest issue lies in botnets, which can generate massive attacks using a network of infected devices. The attacks generated by botnets are diverse, such as the denial of service, phishing, and spam. In general, attacks affect users, services or network infrastructure. Several works in the literature deal with botnet detection. Some of them detect botnets through the use of machine learning, where classifiers are trained with normal behavior of the network and thus can identify anomalies in traffic behavior. The training of these classifiers lies in the main assumption that the state of the network is without infected devices. Hence, these approaches are not feasible depending on the size of the network and the general behavior of devices, such as constant input and output of devices. Other approaches use entropy calculation or even correlation coefficients to differentiate between attack and normal traffic. Thus, this work presents TRUSTED, a system for unsupervised online botnet detection, which identifies infected devices from early or during the time of the attack. Using concept drift and a clustering algorithm, the system provides unsupervised learning and identifies infected devices in the network. This implies that the system does not require prior knowledge of the network flow characteristics, attack signatures or prior training of classification models to identify the botnets. The evaluation of the TRUSTED system follows a trace-driven approach, using the Botnet 2014 and CTU-13 datasets. Both datasets contain network traces with labeled benign and malignant traffic. Thus, from these datasets, the values of network flow features are extracted for the offline and online evaluations. From the set of extracted values, the system constructs a data block, which comprises the most recent set of values obtained in the network for analysis. This block works as input for the concept drift identification and the detection of infected devices. Results show the feasibility of the system through the empirical evaluation of the system variables and the comparison with the FIXED and ARF (supervised) strategies. Also, the accuracy results vary between 75 % and 98 % among all the scenarios evaluated. Comparing these results with the FIXED and ARF strategies the TRUSTED system surpassed the FIXED strategy in all results. However, the ARF strategy has achieved better results in the offline evaluation. In online evaluation, the TRUSTED system has also surpassed the ARF strategy in most scenarios.