Sistema autónomo de detección de botnets en la red de la Universidad de Cuenca basado en el comportamiento anómalo del tráfico DNS
En los ciberataques actuales se hace uso de las botnets, como técnica avanzada para generar ataques sofisticados y coordinados. Se utilizan códigos maliciosos o vulnerabilidades para infectar terminales convirtiéndolos en bots. Los sistemas infectados se conectan a un servidor de Comando y Control...
| Main Author: | |
|---|---|
| Other Authors: | |
| Format: | bachelorThesis |
| Language: | spa |
| Published: |
Universidad de Cuenca
2021
|
| Subjects: | |
| Online Access: | http://dspace.ucuenca.edu.ec/handle/123456789/36031 |
| _version_ | 1785802415911469056 |
|---|---|
| author | Quezada Pauta, Vicente Geovanny |
| author2 | Astudillo Salinas, Darwin Fabián |
| author_facet | Astudillo Salinas, Darwin Fabián Quezada Pauta, Vicente Geovanny |
| author_sort | Quezada Pauta, Vicente Geovanny |
| collection | DSpace |
| description | En los ciberataques actuales se hace uso de las botnets, como técnica avanzada para generar ataques
sofisticados y coordinados. Se utilizan códigos maliciosos o vulnerabilidades para infectar terminales
convirtiéndolos en bots. Los sistemas infectados se conectan a un servidor de Comando y Control (C&C)
para recibir comandos y realizar ataques. Detectar hosts infectados permite proteger los recursos de
una red, y evita que estos sean usados para actividades ilícitas hacia terceros.
En este trabajo experimental de titulación se detalla el diseño, implementación y resultados de un
sistema de detección de infecciones de bot basado en el tráfico Sistema de Nombres de Dominio (DNS),
para una red universitaria. Se realiza un análisis de factibilidad de detección de hosts infectados por bot
basado en la creación de huellas digitales. Las huellas son generadas a partir de un análisis numérico
de 15 atributos DNS de los hosts de la red por horas. Con las huellas digitales se busca anomalías
haciendo uso de Isolation Forest, con la finalidad de etiquetar a un host como infectado o no. Luego se
usa Random Forest para generar un modelo que detecte futuras infecciones hacia hosts por bot.
El sistema de gestión y manejo de eventos DNS integra Suricata, la pila Elasticsearch, Logstash
y Kibana (ELK) y Python. Esta integración facilita el almacenamiento de eventos, generación de
las huellas digitales y análisis de resultados de clasificación de las huellas. Además, se comprueba la
factibilidad del método de detección de hosts infectados por bot usando huellas dactilares, sobre otros
métodos tradicionales, haciendo un análisis de comportamiento en el tiempo de hosts infectados y
búsqueda de consultas hacia dominios generados por Algoritmo de Generación de Dominio (DGA). |
| format | bachelorThesis |
| id | oai:dspace.ucuenca.edu.ec:123456789-36031 |
| institution | Universidad de Cuenca |
| language | spa |
| publishDate | 2021 |
| publisher | Universidad de Cuenca |
| record_format | dspace |
| spelling | oai:dspace.ucuenca.edu.ec:123456789-360312021-04-19T08:01:11Z Sistema autónomo de detección de botnets en la red de la Universidad de Cuenca basado en el comportamiento anómalo del tráfico DNS Quezada Pauta, Vicente Geovanny Astudillo Salinas, Darwin Fabián Electrónica Detección de bots Protección de datos Códigos maliciosos Ciberataques Seguridad informática En los ciberataques actuales se hace uso de las botnets, como técnica avanzada para generar ataques sofisticados y coordinados. Se utilizan códigos maliciosos o vulnerabilidades para infectar terminales convirtiéndolos en bots. Los sistemas infectados se conectan a un servidor de Comando y Control (C&C) para recibir comandos y realizar ataques. Detectar hosts infectados permite proteger los recursos de una red, y evita que estos sean usados para actividades ilícitas hacia terceros. En este trabajo experimental de titulación se detalla el diseño, implementación y resultados de un sistema de detección de infecciones de bot basado en el tráfico Sistema de Nombres de Dominio (DNS), para una red universitaria. Se realiza un análisis de factibilidad de detección de hosts infectados por bot basado en la creación de huellas digitales. Las huellas son generadas a partir de un análisis numérico de 15 atributos DNS de los hosts de la red por horas. Con las huellas digitales se busca anomalías haciendo uso de Isolation Forest, con la finalidad de etiquetar a un host como infectado o no. Luego se usa Random Forest para generar un modelo que detecte futuras infecciones hacia hosts por bot. El sistema de gestión y manejo de eventos DNS integra Suricata, la pila Elasticsearch, Logstash y Kibana (ELK) y Python. Esta integración facilita el almacenamiento de eventos, generación de las huellas digitales y análisis de resultados de clasificación de las huellas. Además, se comprueba la factibilidad del método de detección de hosts infectados por bot usando huellas dactilares, sobre otros métodos tradicionales, haciendo un análisis de comportamiento en el tiempo de hosts infectados y búsqueda de consultas hacia dominios generados por Algoritmo de Generación de Dominio (DGA). In current cyber attacks, botnets are used as an advanced technique to generate sophisticated and coordinated attacks. Malicious code or vulnerabilities are used to infect terminals turning them into bots. Infected systems connect to a C&C server to receive commands and carry out attacks. Detecting an infected host helps to protect network resources and prevents them from being used to attack third-party networks. This experimental thesis work details the design, implementation and results of a bot infection detection system based on DNS traffic, for a university network. A bot-infected host detection feasibility analysis is performed based on fingerprint creation. The fingerprints are generated from a numerical analysis, by hours, of 15 DNS hosts attributes on the network. Anomalies are searched for fingerprints using Isolation Forest, in order to label a host as infected or not. Then Random Forest is used to generate a model that detects future infections to hosts by bot. The DNS event management and handling system integrates Suricata, the ELK stack and Python. This integration makes it easy to store events, generate fingerprints, and analyze the results of fingerprint classification. In addition, it checks the feasibility of the method of detecting hosts infected by bot using fingerprints, compared to other traditional methods, performing a behavior analysis over time of the infected hosts and looking for queries towards domains generated by DGA. Ingeniero en Electrónica y Telecomunicaciones Cuenca 2021-04-14T14:15:16Z 2021-04-14T14:15:16Z 2021-04-14 bachelorThesis http://dspace.ucuenca.edu.ec/handle/123456789/36031 spa TET;104 Attribution-NonCommercial-NoDerivatives 4.0 Internacional http://creativecommons.org/licenses/by-nc-nd/4.0/ openAccess application/pdf 91 páginas application/pdf Universidad de Cuenca |
| spellingShingle | Electrónica Detección de bots Protección de datos Códigos maliciosos Ciberataques Seguridad informática Quezada Pauta, Vicente Geovanny Sistema autónomo de detección de botnets en la red de la Universidad de Cuenca basado en el comportamiento anómalo del tráfico DNS |
| title | Sistema autónomo de detección de botnets en la red de la Universidad de Cuenca basado en el comportamiento anómalo del tráfico DNS |
| title_full | Sistema autónomo de detección de botnets en la red de la Universidad de Cuenca basado en el comportamiento anómalo del tráfico DNS |
| title_fullStr | Sistema autónomo de detección de botnets en la red de la Universidad de Cuenca basado en el comportamiento anómalo del tráfico DNS |
| title_full_unstemmed | Sistema autónomo de detección de botnets en la red de la Universidad de Cuenca basado en el comportamiento anómalo del tráfico DNS |
| title_short | Sistema autónomo de detección de botnets en la red de la Universidad de Cuenca basado en el comportamiento anómalo del tráfico DNS |
| title_sort | sistema autónomo de detección de botnets en la red de la universidad de cuenca basado en el comportamiento anómalo del tráfico dns |
| topic | Electrónica Detección de bots Protección de datos Códigos maliciosos Ciberataques Seguridad informática |
| url | http://dspace.ucuenca.edu.ec/handle/123456789/36031 |
| work_keys_str_mv | AT quezadapautavicentegeovanny sistemaautonomodedetecciondebotnetsenlareddelauniversidaddecuencabasadoenelcomportamientoanomalodeltraficodns |