Digitalni repozitorijum
Univerziteta u Beogradu
{{ mc.sd.lang | uppercase }}
Рано откривање уређаја заражених ботнет малвером коришћењем метода детекције аномалија мрежних токова : докторска дисертација
Jovanović, Đorđe D., 1994-
Davidović, Tatjana, 1964-
Vuletić, Pavle V., 1972-
Punt, Marija, 1978-
Kvaščev, Goran, 1975-
Drašković, Dražen, 1985-
Stanisavljević, Žarko, 1984-
Botnets represent a collection of devices infected with malicious software, controlled by a maliciousadministrator (botmaster), aiming to execute various attacks on computer infrastructure, such asdata theft or DDoS (Distributed Denial of Service) attacks. Recently, botnets have become anincreasing threat, especially since Internet of Things (IoT) devices, often lacking security measuresof their own, and whose numbers have significantly grown in recent years, have become targets.Most existing approaches to botnet attack detection focus on identifying attacks (usually DDoS)post factum, i.e. after they occur. Given the destructive power of newer botnets and that devices canbe part of a botnet for days or months before being used in an attack, it is crucial to detect the botnetas early as possible to prevent the attack and neutralize the botnet.This thesis offers an alternative approach to botnet detection in comparison to previous methods:early detection of infected devices by observing botnet command and control network flows as timeseries and extracting intra-flow statistical features from them. The goal of this feature extractionmethod is to save computational resources required for detection, while at the same timemaintaining high detection accuracy. The extraction of these features and the application of machinelearning techniques achieved the goal of detecting botnet communication before an attack occurs.As a first step, dynamic behavior analysis and static malware code analysis were conducted toinvestigate the network behavior characteristics of IoT botnet samples collected over four years(2019-2023). Based on the analysis of the collected samples, a mechanism was devised to extractcharacteristic time series and features from them based on the concept of software-definednetworking. Various machine-learning models were tested on a public dataset from the CzechTechnical University (CTU), and on collected botnet samples. The detection results werecomparable to other relevant scientific works in the field that performed detection from completetraffic snapshots on the link, with overhead costs (required processing power, disk space, etc.)reduced by up to two orders of magnitude.In the later stages of the research, additional botnet application samples were collected, and the setof extracted features was expanded. The machine learning system based on Extreme GradientBoosting was then tested. Various techniques for feature selection from time series, hyper-parameteroptimization, model selection, and artificial sample generation were examined. Finally, for pipelineswith the best results, the possibility of detecting newer samples with older ones was investigated bygrouping the training and test sets differently, and the results were analyzed. This analysis yieldedfar better botnet detection results, with an F1 score of 0.9041 for pipelines that did not use artificialsample generation and an F1 score of 0.9984 for pipelines that did use artificial sample generation,significantly surpassing the detection accuracy of other studies and methodologies in the field. Thisconfirmed the initial hypothesis of this paper that using intra-flow features can enable therealization of such a detection system.
Ботнети представљају скуп уређаја заражених малициозним софтвером, којима управљазлонамерни администратор (ботмастер), чији је циљ извођење различитих напада нарачунарску инфраструктуру попут крађe података или дистрибуираних напада ускраћивањасервиса (енг. Distributed Denial of Service, скр. DDoS). У последње време, ботнетипредстављају све већу опасност, нарочито од тренутка када су мета постали уређаји типаинтернет ствари (енг. Internet of Things, скр. IoT) чији је број значајно порастао, а који сечесто скромно одржавају. Већина досадашњих приступа у детекцији напада ботнета сефокусира на детекцију самих напада (најчешће DDoS), након што се напади десе. С обзиромна разорну моћ новијих ботнета, али и чињеницу да уређаји могу да буду део ботнета данимаи месецима пре него што се употребе за напад, од великог је значаја да се ботнет открије штопре, како би се напад спречио, а ботнет неутралисао.Овај рад нуди алтернативни приступ детекцији ботнета у односу на досадашње приступе:рану детекцију заражених уређаја посматрањем мрежних токова командне и контролнекомуникације ботнета као временске серије и екстракцијом унутартоковских (енг. intraflow)статистичких одлика из њих. Циљ овог метода екстракције одлика јесте уштеда рачунарскихресурса потребних за детекцију, уз очувану високу прецизност детекције. Екстракција овиходлика и примена техника машинског учења су остварили циљ детекције ботнеткомуникације пре него што се напад догоди. Као први корак, динамичком анализомпонашања и статичком анализом кода малвера, истражене су карактеристике мрежногпонашања примерака IoT ботнета који су прикупљани током четири године (2019-2023).Анализом прикупљених примерака, осмишљен је механизам за екстракцијукарактеристичних временских низова и одлика из њих заснован на концепту софтверскидефинисаних мрежа. Испитивани су различити модели машинског учења, тестирани наједном јавном скупу података Чешког техничког универзитета (енг. Czech TechnicalUniversity, скр. CTU), као и на прикупљеним ботнет примерцима. Остварени резултатидетекције су били једнаки као у другим научним радовима из области, који су детекцијувршили из снимака комплетног саобраћаја на линку, уз режијске трошкове (потребнупроцесорску снагу, простор на дисковима итд.) мање до два реда величине.У каснијој фази истраживања, прикупљени су додатни примерци ботнет апликација ипроширен је скуп екстрахованих одлика. Потом је тестиран систем машинског учења базиранна екстремном градијентном ојачавању (енг. Extreme Gradient Boosting). Испитиване суразличите технике одабира одлика из временских низова, оптимизације хиперпараметара,модела, као и техника генерисања вештачких узорака. На крају, за радне процесе са најбољимрезултатима, различитим груписањем скупа обучавања и тестног скупа, испитивана јемогућност детекције узорака новијег датума старијим узорцима и дата је анализа резултата.Ова анализа је дала далеко боље резултате у детекцији ботнета уз вредност F1 мере од 0.9041у случају радних процеса који не користе корак вештачког генерисања узорака, и вредност F1мере од 0.9984 у случају радних процеса који користе корак вештачког генерисања узорака,чиме је значајно премашила прецизност детекције других радова и методологија у областичиме су потврђене полазне хипотезе овог рада да је коришћењем унутартоковских одликамогуће реализовати овакав систем детекције.
Електротехника и рачунарство - Рачунарска техника и информатика / Electrical engineering and Computer Science - Computer Science and Information Technology Datum odbrane: 02.04.2025.
srpski
2024
Ovo delo je licencirano pod uslovima licence
Creative Commons CC BY-NC 3.0 AT - Creative Commons Autorstvo - Nekomercijalno 3.0 Austria License.
http://creativecommons.org/licenses/by-nc/3.0/at/legalcode
OSNO - Opšta sistematizacija naučnih oblasti, Veštačka inteligencija. Robotika
информациона безбедност, детекција ботнета, машинско учење, софтверски дефинисане мреже
information security, botnet detection, machine learning, software-defined networks
OSNO - Opšta sistematizacija naučnih oblasti, Veštačka inteligencija. Robotika
170100745
9844