Um sistema autônomo para a detecção contínua de botnets

Abstract

Resumo: Atualmente, vivemos uma revolução tecnológica marcada pelo desenvolvimento de sistemas digitais mais sofisticados e integrados e a ubiquidade da Internet. Essa revolução resultou em uma amplificação do ciberespaço e na abertura do seu acesso, transformando a sociedade e a economia global. Os avanços tecnológicos estão associados com o surgimento de novos tipos de ameaças e riscos. Nesse sentido, à medida que o acesso à Internet se torna mais amplo, é possível observar o surgimento de novas ameaças relacionadas ao ciberespaço. Para evitar prejuízos causados por essas ameaças, as empresas investem fortemente em sistemas de segurança cibernética. Para padronizar as diretrizes e as práticas existentes relacionados à segurança cibernética e facilitar a sua implantação em diferentes organizações, surgiu o Cybersecurity Framework (CSF). O CSF é organizado em cinco funções: identificar, proteger, detectar, responder e recuperar. Este trabalho foca na função de detecção, mais especificamente na detecção de botnets, redes de dispositivos comprometidos controlados remotamente por um atacante (botmaster) para a realização de ataques cibernéticos. Os ataques realizados por botnets têm se destacado, dado à sua diversidade e o potencial para causar danos econômicos, sociais, institucionais e operacionais. A detecção de botnets é dificultada por vários motivos, sendo estes principalmente a diversidade de botnets existentes e o desenvolvimento de novas variantes mais eficazes em evitar as técnicas de detecção. Na literatura, as soluções existentes para a detecção de botnets geralmente assumem um contexto estático, ou seja, a distribuição dos dados permanece a mesma durante todo o ciclo de vida da aplicação. Porém, uma das consequências da diversidade de ataques realizados por botnets é a mudança inesperada no comportamento da rede. Desse modo, este trabalho aborda o problema de como detectar botnets de maneira eficaz com o mínimo de intervenção humana, diante de um ambiente caracterizado por mudanças frequentes no contexto de ameaças. Para este fim, é proposto um sistema de detecção de botnets que atua em ambientes dinâmicos de maneira autônoma, denominado de ANTE (do inglês, AutoNomous boTnet dEtection). A avaliação do sistema ANTE, por meio da utilização de um conjunto diversificado de cenários de ataques, comprovaram a sua eficácia em detectar botnets. Além disso, foi possível observar que o sistema ANTE seleciona técnicas de detecção diferentes para cenários distintos, indicando a sua capacidade de considerar diferentes aspectos de um ataque na escolha da melhor forma de realizar a detecção de botnets

Abstract: Currently, we are in the midst of a technological revolution marked by the development of more sophisticated and integrated digital systems and the ubiquity of the Internet. This revolution resulted in the amplification of cyberspace and its widespread adoption, transforming society and the global economy. Technological advances are usually associated with the emergence of new types of threats and risks. In this sense, as access to the Internet becomes broader, it is possible to observe the emergence of new threats related to cyberspace. To mitigate these threats, companies invest heavily in cybersecurity systems. To standardize the existing guidelines and practices related to cybersecurity and facilitate its implementation in different organizations, the Cybersecurity Framework (CSF) was created. The CSF is organized into five functions: identify, protect, detect, respond and recover. This work focuses on the detection function, more specifically on the detection of botnets, networks of compromised devices remotely controlled by an attacker (botmaster) to carry out cyber attacks. Attacks carried out by botnets have stood out, given their diversity and potential to cause economic, social, institutional, and operational damage. Botnet detection is a difficult task for several reasons, mainly the diversity of existing botnets and the development of new variants that are more efficient in avoiding detection techniques. In the literature, the existing solutions for botnet detection generally assume a static context, that is, the data distribution remains the same throughout the application lifecycle. However, one of the consequences of the diversity of attacks carried out by botnets is unexpected changes in network behavior. Thus, this work addresses the problem of how to detect botnets effectively with minimal human intervention, in an environment characterized by frequent changes in the context of threats. For this purpose, is proposed a autonomous botnet detection system called ANTE (AutoNomous boTnet dEtection). The evaluation of the ANTE system, through the use of a diverse set of attack scenarios, proved its effectiveness in detecting botnets. Furthermore, it was observed that the ANTE system selects different detection techniques for different scenarios, indicating its ability to consider different aspects of an attack when choosing the best way to perform detection