Uso de algoritmo de aprendizagem de máquina não-supervisionado para prevenção da formação de redes botnet

The Internet of Things has become more important due to its applicability to many embedded systems ecosystems in daily use. However, those systems’ devices have several hardware constraints and neglected security. Consequently, botnets malwares have taken advantage of poor security schemas on such devices. This dissertation evaluates the use of four unsupervised machine learning algorithms using data streams to detect botnet formation on the network edge. The algorithms were chosen after a literature review for being less demanding, being more adequate to implement in more restricted environments. To increase the efficiency and quality of results, two processing algorithms were also used. It was used a dataset generated by nine smart objects and with two infection variants: Mirai and Bashlite. Qualitative experiments were made to assess the classification results of each algorithm and also to evaluate the results after varying processing and memory resources changes to verify a minimal configuration to a device properly execute the algorithms. After qualitative and performance evaluations, the results showed that algorithms such as BIRCH, DenStream, and DStream are viable choices to detect malicious data that are sent in botnet formation. Those algorithms have an average accuracy between 96% and 98%, needing few samples per device and sample analysis response time of 300 milliseconds in a Raspberry Pi Zero W, being a constrained device and much similar to an application in an Internet of Things scenario.A Internet das Coisas tem se tornado cada vez mais importante por sua aplicabilidade em vários ecossistemas embarcados do cotidiano. Entretanto, os dispositivos destes sistemas apresentam várias restrições de hardware e sua segurança vem sendo negligenciada. Consequentemente, malwares formadores de botnets tem aproveitado os fracos esquemas de segurança nestes dispositivos. Esta dissertação avalia o uso de quatro algoritmos não-supervisionados que utilizam data stream para detectar a formação de botnets na borda da rede. Os algoritmos foram escolhidos após revisão da literatura por serem mais leves e, portanto, considerados mais adequados para a implantação em cenários com maiores restrições. Foram utilizados algoritmos de préprocessamento para melhorar a eficiência e a qualidade dos resultados. Foi também utilizado um conjunto de dados que considerou o fluxo de dados gerados por nove dispositivos inteligentes e com duas variantes de malwares: Mirai e Bashlite. Foram realizados testes qualitativos para validar o resultado das classificações de cada algoritmo, além de resultados referentes a variações de processadores e memória para verificar qual o perfil mínimo de dispositivo necessário para executar de forma adequada. Após avaliações qualitativas e de performance, os resultados obtidos mostram que algoritmos como BIRCH, DenStream e DStream são opções viáveis para detectar dados maliciosos que trafegam na formação da botnet. Tendo acurácias médias entre 96% e 98%, necessitando de poucas amostras por dispositivos e tempo de análise de amostras de 300 milissegundos em um Raspberry Pi Zero W, sendo um dispositivo com menor capacidade computacional e mais próximo de uma aplicação em um cenário da Internet das Coisas.São Cristóvão, S

Uso de algoritmo de aprendizagem de máquina não-supervisionado para prevenção da formação de redes botnet

The Internet of Things has become more important due to its applicability to many embedded systems ecosystems in daily use. However, those systems’ devices have several hardware constraints and neglected security. Consequently, botnets malwares have taken advantage of poor security schemas on such devices. This dissertation evaluates the use of four unsupervised machine learning algorithms using data streams to detect botnet formation on the network edge. The algorithms were chosen after a literature review for being less demanding, being more adequate to implement in more restricted environments. To increase the efficiency and quality of results, two processing algorithms were also used. It was used a dataset generated by nine smart objects and with two infection variants: Mirai and Bashlite. Qualitative experiments were made to assess the classification results of each algorithm and also to evaluate the results after varying processing and memory resources changes to verify a minimal configuration to a device properly execute the algorithms. After qualitative and performance evaluations, the results showed that algorithms such as BIRCH, DenStream, and DStream are viable choices to detect malicious data that are sent in botnet formation. Those algorithms have an average accuracy between 96% and 98%, needing few samples per device and sample analysis response time of 300 milliseconds in a Raspberry Pi Zero W, being a constrained device and much similar to an application in an Internet of Things scenario.A Internet das Coisas tem se tornado cada vez mais importante por sua aplicabilidade em vários ecossistemas embarcados do cotidiano. Entretanto, os dispositivos destes sistemas apresentam várias restrições de hardware e sua segurança vem sendo negligenciada. Consequentemente, malwares formadores de botnets tem aproveitado os fracos esquemas de segurança nestes dispositivos. Esta dissertação avalia o uso de quatro algoritmos não-supervisionados que utilizam data stream para detectar a formação de botnets na borda da rede. Os algoritmos foram escolhidos após revisão da literatura por serem mais leves e, portanto, considerados mais adequados para a implantação em cenários com maiores restrições. Foram utilizados algoritmos de préprocessamento para melhorar a eficiência e a qualidade dos resultados. Foi também utilizado um conjunto de dados que considerou o fluxo de dados gerados por nove dispositivos inteligentes e com duas variantes de malwares: Mirai e Bashlite. Foram realizados testes qualitativos para validar o resultado das classificações de cada algoritmo, além de resultados referentes a variações de processadores e memória para verificar qual o perfil mínimo de dispositivo necessário para executar de forma adequada. Após avaliações qualitativas e de performance, os resultados obtidos mostram que algoritmos como BIRCH, DenStream e DStream são opções viáveis para detectar dados maliciosos que trafegam na formação da botnet. Tendo acurácias médias entre 96% e 98%, necessitando de poucas amostras por dispositivos e tempo de análise de amostras de 300 milissegundos em um Raspberry Pi Zero W, sendo um dispositivo com menor capacidade computacional e mais próximo de uma aplicação em um cenário da Internet das Coisas.São Cristóvão, S