Analyzing IDS botnets detection

Binda, Kahe Henrique

http://hdl.handle.net/10198/22827

Use this identifier to reference this record.

Name:	Description:	Size:	Format:
Binda_Kahe.pdf		2.94 MB	Adobe PDF	Download

Send Feedback

Authors

Binda, Kahe Henrique

Advisor(s)

Pedrosa, Tiago

Rodrigues, Nuno G.

Michel, Neylor

Abstract(s)

In a world increasingly connected with equipment permanently attached, the risk of cybersecurity had rise. Among the various vulnerabilities and forms of exploitation, the Botnets are those being addressed in this work. The number of botnets related infections has grown critically and, due to botnets’ increased capacity and potential use for future infections, a continued development of solutions is needed to strengthen the protection of networks and systems. Intrusion Detection Systems (IDS) are one of the solutions that try to follow this evolution. The continuous evolution of tools and attack forms in order to evade detection, using mechanisms such as encryption (IPSec, SSL) and diverse architecture and different ways of implementing Botnets create great challenges to those who try to detect them. In order to better understand these challenges, this work proposes an architecture to map the behavior of botnets. For this, a topology was created with several components, such as Network Intrusion Detection System (NIDS) and Host Intrusion Detection System (HIDS), aided with information from honeypots for the detection and analysis of attacks. This approach enabled real data to be obtained from attempts, some successfully, from Malware infections, with the aim of transforming systems into Bots and integrating them into Botnets. An exploratory analysis of the data is performed to verify the detection capabilities and the cases where the components do not provide correct information. Some methods based on machine learning were also used to process and analyze the collected data.

Num mundo cada vez mais conectado com cada vez mais equipamentos ligados em permanência o risco de cibersegurança tem aumentado. De entre as diversas vulnerabilidades e formas de exploração continuada as Botnets são as visadas neste trabalho. Os números de infeções relacionadas com as Botnets têm crescido de forma critica e devido dotar de maiores capacidades os atacantes e seu grande poder de infeção futura é necessário um desenvolvimento continuo de soluções para reforçar a proteção das redes e sistemas. Os Sistemas de Deteccao de Intrusao (IDS) são uma das soluções que tentam acompanhar esta evolução deste tipo de ameaça. A evolução continua das ferramentas e formas de ataque por forma a fugir à detecção, utilizando mecanismos como tráfego cifrado (IPSec, SSL) e arquitectura diversa e formas diferentes da implementação das Botnets levantam grandes desafios a quem as tenta detectar. Por forma a compreender melhor estes desafios, este trabalho propõe uma arquitetura para mapear o comportamento das Botnets. Para isso criou-se uma topologia com diversos componentes, como Network Intrusion Detection System (NIDS) e Host Intrusion Detection System (HIDS), auxiliados com informação de honeypots para a deteção e análise de ataques. Esta abordagem permitiu obter dados reais de tentativas, algumas com sucesso, de infeções de Malware, com o intuito de transformar os sistemas em Bots e os integrar em Botnets. É efetuada uma análise exploratória dos dados para verificar a capacidade de deteção e os casos em que os sistemas não fornecem informação correta. Foram também utilizados alguns métodos baseados em machine learning para tratamento e análise dos dados coletados.