http://repositorio.unb.br/handle/10482/45304
Arquivo | Descrição | Tamanho | Formato | |
---|---|---|---|---|
2022_DanieleAdrianaGoulartLopes.pdf | 4,03 MB | Adobe PDF | Visualizar/Abrir |
Título: | Detecção de botnets baseada na análise de fluxos de rede utilizando estatística inversa |
Autor(es): | Lopes, Daniele Adriana Goulart |
Orientador(es): | Gondim, João José Costa |
Coorientador(es): | Marotta, Marcelo Antônio |
Assunto: | Botnet Fluxo de rede Cybercrime Detecção de anomalias Estatística inversa |
Data de publicação: | 15-Dez-2022 |
Data de defesa: | 22-Set-2022 |
Referência: | LOPES, Daniele Adriana Goulart. Detecção de botnets baseada na análise de fluxos de rede utilizando estatística inversa. 2022. xvii, 119 f., il. Dissertação (Mestrado Profissional em Computação Aplicada) — Universidade de Brasília, Brasília, 2022. |
Resumo: | Botnet é uma rede de computadores infectados, os quais são controlados remotamente por um cybercriminal, denominado botmaster e que tem como objetivo realizar ataques cibernéticos massivos, como DDoS, SPAM e roubo de informações. Os métodos tradicionais de detecção de botnets, normalmente baseados em assinatura, são incapazes de detectar botnets desconhecidas. A análise baseada em comportamento tem sido promissora para a detecção de tendências atuais de botnets, as quais estão em constante evolução. Considerando que um ataque de botnet à infraestrutura de TI do Centro de Coordenação de Operações Móvel (CCOp Mv) do Exército Brasileiro pode prejudicar o sucesso das operações, através do furto de informações sensíveis ou mesmo causando interrupção à sistemas críticos do CCOp Mv, esta dissertação propõe um mecanismo de detecção de botnets baseado na análise do comportamento de fluxos de rede. A técnica utilizada para detecção de botnets foi recentemente desenvolvida e é denominada Energy-based Flow Classifier (EFC). Essa técnica utiliza estatística inversa para detecção de anomalias e possui uma importante característica que é a sua fácil adaptação a novos domínios, o que pode ser promissor para detecção de botnets desconhecidas. Além disso, o EFC é um algoritmo considerado interpretável, permitindo analisar o modelo estatístico inferido. Com base nisso, propomos uma abordagem para seleção dos atributos mais informativos para a detecção de botnets, através da análise dos acoplamentos entre os pares de atributos calculados pelo EFC. Para avaliar a eficiência do modelo gerado, bem como avaliar os atributos selecionados pelo EFC, realizamos diversos experimentos, com três conjuntos de dados distintos. Os resultados obtidos foram comparados com diversos modelos gerados por algoritmos tradicionais de uma e de duas classes. Também fizemos experimentos com duas outras abordagens de seleção de atributos. Os resultados obtidos mostram que o EFC consegue manter resultados mais estáveis, independente do domínio, ao contrário dos demais algoritmos testados e principalmente, que o EFC pode ser empregado como uma técnica para seleção dos atributos mais relevantes. |
Abstract: | A botnet is a network of infected computers, which are remotely controlled by a cybercriminal, called botmaster, whose objective is to carry out massive cyberattacks, such as DDoS, SPAM, and information theft. Traditional botnet detection methods, usually signature-based, are unable to detect unknown botnets. Behavior-based analytics has held promise for detecting current botnet trends, which are constantly evolving. Considering that Botnet attacks on the IT infrastructure of the Brazilian Army’s Mobile Operations Coordination Center (CCOp Mv) may harm the success of operations, through theft of sensitive information or even causing interruption to critical CCOp Mv systems, this dissertation proposes a botnet detection mechanism based on network flow behavior analysis. The main objective is to propose an additional layer of cyber protection to the CCOp Mv IT infrastructure. The technique used to detect botnets was recently developed and it is called Energy-based Flow Classifier (EFC). This technique uses inverse statistics for anomaly detection and has an important characteristic which is its easy adaptation to new domains, which can be promising for detecting unknown botnets. In addition, the EFC is considered an interpretable algorithm, allowing the analysis of the inferred statistical model. Based on this, we propose an approach for selecting the most informative features for botnet detection, by analyzing the couplings between the pairs of attributes calculated by the EFC. To evaluate the efficiency of the generated model, as well as to evaluate the features selected by the EFC, we carried out several experiments, with three different data sets. The results obtained were compared with several models generated by traditional one and two-class algorithms. We also experimented with two other feature selection approaches. The results obtained show that the EFC manages to maintain more stable results, regardless of the domain, unlike the other algorithms tested, and mainly, the EFC can be used as a technique for selecting the most relevant features. |
Unidade Acadêmica: | Instituto de Ciências Exatas (IE) Departamento de Ciência da Computação (IE CIC) |
Informações adicionais: | Dissertação (Mestrado Profissional em Computação Aplicada) — Universidade de Brasília, Instituto de Ciências Exatas, Departamento de Ciência da Computação, Brasília, 2022. |
Programa de pós-graduação: | Programa de Pós-Graduação em Computação Aplicada, Mestrado Profissional |
Licença: | A concessão da licença deste item refere-se ao termo de autorização impresso assinado pelo autor com as seguintes condições: Na qualidade de titular dos direitos de autor da publicação, autorizo a Universidade de Brasília e o IBICT a disponibilizar por meio dos sites www.bce.unb.br, www.ibict.br, http://hercules.vtls.com/cgi-bin/ndltd/chameleon?lng=pt&skin=ndltd sem ressarcimento dos direitos autorais, de acordo com a Lei nº 9610/98, o texto integral da obra disponibilizada, conforme permissões assinaladas, para fins de leitura, impressão e/ou download, a título de divulgação da produção científica brasileira, a partir desta data. |
Agência financiadora: | Coordenação de Aperfeiçoamento de Pessoal de Nível Superior (CAPES). |
Aparece nas coleções: | Teses, dissertações e produtos pós-doutorado |
Os itens no repositório estão protegidos por copyright, com todos os direitos reservados, salvo quando é indicado o contrário.