BOTection: bot detection by building Markov Chain models of bots network behavior

This paper was presented at the 15th ACM ASIA Conference on Computer and Communications Security (ACM ASIACCS 2020), 5-9 October 2020, Taipei, Taiwan. This is the accepted manuscript version of the paper. The final version is available online from the Association for Computing Machinery at: https://doi.org/10.1145/3320269.3372202.Botnets continue to be a threat to organizations, thus various machine learning-based botnet detectors have been proposed. However, the capability of such systems in detecting new or unseen botnets is crucial to ensure its robustness against the rapid evolution of botnets. Moreover, it prolongs the effectiveness of the system in detecting bots, avoiding frequent and time-consuming classifier re-training. We present BOTection, a privacy-preserving bot detection system that models the bot network flow behavior as a Markov Chain. The Markov Chain state transitions capture the bots' network behavior using high-level flow features as states, producing content-agnostic and encryption resilient behavioral features. These features are used to train a classifier to first detect flows produced by bots, and then identify their bot families. We evaluate our system on a dataset of over 7M malicious flows from 12 botnet families, showing its capability of detecting bots' network traffic with 99.78% F-measure and classifying it to a malware family with a 99.09% F-measure. Notably, due to the modeling of general bot network behavior by the Markov Chains, BOTection can detect traffic belonging to unseen bot families with an F-measure of 93.03% making it robust against malware evolution.Accepted manuscrip

FPGA-based load-pull measurement system

Zsfassung in dt. SpracheLoad-Pull ist eine nicht lineare Messtechnik bei der einem Prüfobjekt während einer Messung verschiedene Terminierungen angeboten werden. Aktive Load-Pull Systeme lösen diese Aufgabe mit zurück transmittieren einer modifizierten Version des Ausgangssignals an das Prüfobjekt. Diese Art Messung wird benötigt um nicht lineare Bauteile, wie z.B. Transistoren, zu charakterisieren und kann auch verwendet werden um Bauteile unter realen Bedingungen zu testen. Traditionelle Load-Pull Systeme sind von ihrer Natur aus eher Schmalbandsysteme. Im Zuge dieser Diplomarbeit wurde ein aktives Load-Pull Messsystem aufgebaut und charakterisiert, das Reflexionen über eine Bandbreite von 20 MHz mit konstanten Reflexionskoeffizienten erzeugen kann. Dies wurde mittels digitaler Reflexionssynthese und Filterung im Basisband erzielt. Die Filterung ermöglicht das Ausgleichen der Gruppenlaufzeit verursacht durch Kabel im Messaufbau unter Nutzung eines zyklisch periodischen Eingangssignals durch angleichen der Phase des synthetisierten reflektierten Signals an zukünftige Signalperioden. Weiters wurde ein iterativer Algorithmus entworfen, der, basierend auf Messungen eines zusätzlich implementierten Netzwerkanalysators, den gewünschten Reflexionskoeffizienten erreichen kann. Dieser Algorithmus setzt keine Kalibration voraus und wird benötigt um Prüfobjekte mit lastabhängigem Verhalten testen zu können. Die digitale Reflexionsynthese ist in einem FPGA implementiert. Diese effiziente, pipeline-basierende Implementierung erlaubt hohe Aktualisierungsraten. Weiters wurde eine Kommunikationssoftware entwickelt die auf dem in dem FPGA integrierten Prozessor läuft. Damit wird die Fernsteuerung der digitalen Hardware mittels Ethernet ermöglicht was in automatisierten Prüfaufbauten benötigt wird. Abschließend wurde das Messsystem verifiziert indem die erzeugten Reflexionskoeffizienten mit Messungen eines kommerziell erhältlichen Netzwerkanalysators verglichen wurden.Load-pull is a non-linear measurement setup which operates by presenting a specific impedance to a device under test. One type of such setups is active load-pull which retransmits a modified received wave back to the device under test. Generally, a load-pull system is intended to characterize non-linear devices like transistors and can also be used to test devices under different operating conditions. Traditional load-pull measurement systems are narrowband in nature. During the course of this thesis an active FPGA based load-pull measurement system capable of synthesizing reflections with a constant reflection coefficient over a bandwidth of 20 MHz was developed and verified in measurements. The goals were achieved by synthesizing and filtering the reflection waveform digitally in baseband. This filtering allowed to apply phase correction to the synthesized waveforms for a cyclic signal which was used to achieve a zero phase delay between the reflected wave and a later cycle of the received wave at the load reference plane. Furthermore, an iterative target algorithm based on measurements using an also realized 1-port vector network analyzer was developed to achieve accurate reflection coefficients. This algorithm needs no calibration and allows the verification of highly non-linear devices under test which can exhibit load dependent behaviour. The digital reflection generation was implemented in hardware on an FPGA. In combination with an efficient pipelined design this allows for fast update rates. Additionally, software running on a processor contained within the FPGA was developed to control the digital hardware via Ethernet which is needed for automated test bench setups. Finally, the implementation was verified by comparing the realized reflection coefficients to measurements carried out using a commercially available vector network analyzer connected to the load-pull setup as the device under test.7