DSpace
 
  Repositório Institucional da Universidade de Aveiro > Departamento de Electrónica, Telecomunicações e Informática > DETI - Dissertações de mestrado >
 Development of a botnet detection system
Please use this identifier to cite or link to this item http://hdl.handle.net/10773/2194

title: Development of a botnet detection system
authors: Lino, Fábio Blessa Fernandes
advisors: Ferreira, Paulo Jorge Salvador Serra
Nogueira, António Manuel Duarte
keywords: Engenharia de computadores
Redes de computadores
Tráfego de redes
Redes neuronais
Segurança informática
issue date: 2009
publisher: Universidade de Aveiro
abstract: O tráfego ilícito é um dos maiores problemas da segurança em redes. É necessária uma estratégia global contra esta ameaça, uma vez que este problema pode afectar a economia gerada pela internet a um nível global nos próximos anos. As técnicas tradicionais de detecção de computadores zombie, como antivírus, firewalls e anti-spywares não são eficientes contra esta ameaça. A principal razão para este fracasso é a limitação imposta pelas metodologias tradicionais face ás novas ameaças que constantemente aparecem. Para ultrapassar esta limitação, propomos uma nova abordagem diferente dos actuais sistemas de detecção de intrusões, que conjugada com os métodos tradicionais pode garantir um nível elevado de segurança. Esta nova abordagem é baseada na identificação de padrões de tráfego de rede. Cada serviço de rede tem uma característica que o define e, sendo assim, podemos tirar partido desse facto para identificar o tráfego ilícito correspondente a botnets e outros malwares. Para identificar o que é tráfego ilícito e o que é lícito, é usada uma Rede Neuronal Artificial que é treinada para identificar os padrões de tráfego de rede correspondentes ao tráfico ilícito. Depois de identificado o tráfego ilícito, o sistema proposto neste trabalho vai gerar alarmes que alertarão o administrador do sistema em caso de identificação de computadores zombie ou infectados. O próximo passo será tomar uma medida preventiva, que pode ir desde bloquear o endereço IP correspondente a essa máquina até colocá-la sob um nível de vigilância extra. Os resultados obtidos mostram que esta metodologia de identificação de tráfego ilícito é uma técnica possível de ser usada no dia-a-dia devido à sua elevada taxa de identificação e à sua baixa carga computacional. Esta técnica pode identificar problemas actualmente indetectáveis pelas metodologias vulgarmente usadas. ABSTRACT: Illicit traffic is one of the major issues in network security. A strategy for a global partnership against it is needed in order to avoid illicit traffic from becoming a serious threat to the Internet economy and to global security in the forthcoming years. Traditional Zombie detection techniques, such as antivirus, firewalls and anti-spyware are not effective against this threat. The main reason for this failure is the limitation of these traditional methodologies to detect new threats. To overcome this limitation, we propose a new intrusion detection approach that works together with traditional methods in order to ensure a higher level of protection/security. This new approach is based on the identification of traffic patterns. Each network service, as well as illicit traffic corresponding to botnets and other malwares, has a characteristic traffic pattern that can univocally identify it. In order to decide which network traffic is illicit or licit, we use an Artificial Neural Network that is trained to identify the illicit patterns. After identifying the illicit traffic, the proposed system will generate alarms to the system administrator in order to alert him about a Zombie or an infected computer. After this identification phase, the system administrator can take a security action, like blocking the corresponding IP Address or putting it under a deeper surveillance. The results obtained show that this is a feasible and efficient methodology, since it provides high detection rates with low computational overhead. So, we believe that this methodology can be an emergent technique that will deal with untraceable threats that current methodologies are unable to deal with.
description: Mestrado em Engenharia de Computadores e Telemática
URI: http://hdl.handle.net/10773/2194
appears in collectionsDETI - Dissertações de mestrado
UA - Dissertações de mestrado

files in this item

file description sizeformat
2010000730.pdf3.07 MBAdobe PDFview/open
statistics

Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.

 

Valid XHTML 1.0! RCAAP OpenAIRE DeGóis
ria-repositorio@ua.pt - Copyright ©   Universidade de Aveiro - RIA Statistics - Powered by MIT's DSpace software, Version 1.6.2