Regresar

Sistema autónomo de detección de botnets en la red de la Universidad de Cuenca basado en el comportamiento anómalo del tráfico DNS

Abstract:

En los ciberataques actuales se hace uso de las botnets, como técnica avanzada para generar ataques sofisticados y coordinados. Se utilizan códigos maliciosos o vulnerabilidades para infectar terminales convirtiéndolos en bots. Los sistemas infectados se conectan a un servidor de Comando y Control (C&C) para recibir comandos y realizar ataques. Detectar hosts infectados permite proteger los recursos de una red, y evita que estos sean usados para actividades ilícitas hacia terceros. En este trabajo experimental de titulación se detalla el diseño, implementación y resultados de un sistema de detección de infecciones de bot basado en el tráfico Sistema de Nombres de Dominio (DNS), para una red universitaria. Se realiza un análisis de factibilidad de detección de hosts infectados por bot basado en la creación de huellas digitales. Las huellas son generadas a partir de un análisis numérico de 15 atributos DNS de los hosts de la red por horas. Con las huellas digitales se busca anomalías haciendo uso de Isolation Forest, con la finalidad de etiquetar a un host como infectado o no. Luego se usa Random Forest para generar un modelo que detecte futuras infecciones hacia hosts por bot. El sistema de gestión y manejo de eventos DNS integra Suricata, la pila Elasticsearch, Logstash y Kibana (ELK) y Python. Esta integración facilita el almacenamiento de eventos, generación de las huellas digitales y análisis de resultados de clasificación de las huellas. Además, se comprueba la factibilidad del método de detección de hosts infectados por bot usando huellas dactilares, sobre otros métodos tradicionales, haciendo un análisis de comportamiento en el tiempo de hosts infectados y búsqueda de consultas hacia dominios generados por Algoritmo de Generación de Dominio (DGA).