BotFetcher : uma arquitetura para predição de ataques DDOS e detecção de bots

Orientador: Profa. Dra. Michele Nogueira LimaDissertação (mestrado) - Universidade Federal do Paraná, Setor de Ciências Exatas, Programa de Pós-Graduação em Informática. Defesa : Curitiba, 15/03/2021Inclui referências: p. 80-85Resumo: O aumento do numero de usuarios, de dispositivos e da velocidade de acesso a Internet tem modificado como as pessoas e empresas se relacionam entre si. Esse crescimento, que e exponencial, vem trazendo muitos beneficios a sociedade, tais como facilidades na comunicacao, acesso a informacao e entretenimento. Entretanto, mecanismos de seguranca acabam sendo relegados a segundo plano, deixando os dispositivos vulneraveis a ataques. Uma forma de ataque a esses dispositivos e atraves de botnets, uma ameaca para a seguranca dos usuarios e dispositivos conectados a Internet. Botnets representam uma ameaca a redes de computadores, pois podem interromper seus servicos atraves da coordenacao entre uma quantidade massiva de dispositivos infectados (bots). Estas ameacas buscam atacar tres pilares dos dados e sistemas: confidencialidade (um dado privado e tornado publico), integridade (um dado se torna ilegivel) e disponibilidade (o dado ou sistema nao esta disponivel para acessos legitimos). Para evitar os danos causados por botnets, e necessario identificar os dispositivos que a compoem. Diversas tecnicas foram propostas para identificar botnets: analisando todo o trafego para identificar caracteristicas conhecidas como ataque; tecnicas de identificacao de caracteristicas relevantes; com o crescimento do trafego, buscou-se inferir o comportamento dos nos da rede sem a analise do conteudo do trafego. Porem, em resposta, os atacantes se tornaram mais agressivos, melhorando suas formas de comunicacao com os dispositivos comprometidos, a arquitetura da botnet e tecnicas de evasao dos bots. A deteccao dessas botnets e desafiadora devido a quantidade massiva de dados e as limitacoes de processamento e memoria dos dispositivos presentes na rede. Este trabalho apresenta BotFetcher, uma arquitetura para predicao de ataques de negacao de servico distribuido (DDoS) e deteccao dos bots, capaz de lidar com um volume crescente e massivo de dados. Apresenta-se a fundamentacao teorica que subsidia a proposta, indicando como as botnets operam, como obter informacoes para identificacao destas e as tecnicas para a realizacao da deteccao. BotFetcher contribui para a deteccao em escala de botnets, realizando a predicao de ataques DDoS em redes locais. Identificado um possivel ataque, o trafego e agregado com outras redes, computando a coordenacao dos nos, que caracterizam as botnets. Para tanto, BotFetcher se utiliza de indicadores estatisticos para a predicao dos ataques. Para a deteccao, BotFetcher realiza a extracao das caracteristicas do trafego, selecionando as que propiciam a melhor representacao dos dados. Apos isso, BotFetcher realiza um agrupamento pelo comportamento dos nos presentes naquele trafego. O comportamento e indicado pelas caracteristicas apresentadas. Por fim, a deteccao e realizada em cada grupo a partir de indicios de causalidade entre os dispositivos. A avaliacao teve como entrada as bases de dados CTU-13 e CAIDA. BotFetcher detectou o(s) bot(s) presentes nas bases de dados, com uma precisao maior de 99%. Tambem, comparou-se a presente proposta com tecnicas de aprendizagem de maquina, mostrando que os resultados obtidos sao pertinentes e competem com a literatura existente. A solucao proposta e capaz de operar em um grande volume de dados, reduzindo o volume de dados analisado a cada etapa e propiciando uma analise eficaz e capaz de detectar bots presentes no trafego. Palavras-chave: Botnet. Deteccao de Botnets. Seguranca. Redes de Computadores.Abstract: The growth in the number of users, devices and bandwidth at the Internet has changed how people and companies interact with each other. This exponential growth is bringing a lot of benefits to mankind, facilitating communication, access to information and entertainment. However, security measures are often relegated and overlooked, letting the devices vulnerable to attacks. One way to attack these devices is through botnets, a threat to the security of Internet-connected users and devices. Botnets represent a threat to computer networks as they can disrupt its services through the coordination of a huge amount of infected devices (bots). These threats three data and systems fundations: confidentiality (data that is private becomes public), integrity (data becomes unreadable) and availability (data or system is not available for legit requests). Thus, to avoid damage that can be caused by botnets, identifying the devices that belongs to them is required. Several techniques were proposed to identify these botnets: analyzing all the traffic to identify features known as attacks; relevant feature identification techniques; with the traffic growth, efforts were made to characterize the behavior of the network nodes without analyzing the traffic content. But, as a response, attackers became more aggressive, improving their communication techniques with compromised devices, the botnet architecture and bots' evasion techniques. The detection of these botnets is challenging due to the enormous amount of data and the processing and memory limitations of the devices on the network. In this paper, we present BotFetcher, an architecture for DDoS prediction and bot detection, able to deal with an ever increasing and massive data volume. It is presented as the theoretical basis that allows the proposal of BotFetcher, showing how botnets work, how to obtain data to identify these botnets and the techniques that can detect bots. BotFetcher contributes to a scalable botnet detection, performing the prediction of DDoS attacks in local networks. Once a possible attack is identified, traffic is merged with other networks, computing its coordination between nodes, which characterize botnets. Therefore, BotFetcher calculates statistical indicators for the attack prediction. For the detection, BotFetcher extracts features from the traffic and, among them, selects the ones that provide a better data representation. After that, it clusters the nodes on the traffic by its behavior. The behavior is indicated by the features presented. Finally, the detection is done in each cluster, based on causality signaling between devices. The architecture was evaluated using as input the CTU-13 and CAIDA datasets. BotFetcher detected the bot(s) on these datasets with a precision over 99%. Also, the proposal was compared with machine learning techniques, showing that the results are relevant and compete with the existing literature. It has been shown that BotFetcher is able to operate with a massive dataset, reducing the volume of analyzed data at each phase, providing an effective analysis, providing an effective and capable way to detect bots in the traffic. Keywords: Botnet. Botnet Detetion. Security. Computer Networks