Detección de tráfico de control de botnets modelizando el flujo de los paquetes de red

  1. Brezo Fernández, Félix
Dirigida por:
  1. Pablo García Bringas Director
  2. Igor Santos Grueiro Director/a

Universidad de defensa: Universidad de Deusto

Fecha de defensa: 07 de febrero de 2014

Tribunal:
  1. Mario G. Piattini Velthuis Presidente/a
  2. Borja Sanz Urquijo Secretario
  3. Rebeca Cortázar Vocal
  4. Emilio Santiago Corchado Rodríguez Vocal
  5. Miguel Angel López Carmona Vocal

Tipo: Tesis

Teseo: 401555 DIALNET lock_openTESEO editor

Resumen

La historia del malware va intrínsecamente ligada al desarrollo de las tecnologías de la información y de la computación. Sin embargo, no es menos cierto que las motivaciones de los escritores de aplicaciones maliciosas han evolucionado. La fama y la gloria anhelada por los primeros programadores ha dado paso a una industria completamente organizada en torno a las muy variadas aplicaciones delictivas de un espacio cada vez más democratizado y dependiente del buen funcionamiento de las infraestructuras tecnológicas que lo dan soporte. Es en este contexto donde surge la amenaza de las botnets: colecciones de equipos infectados con malware que son controlados remotamente por sus operadores, también conocidos como botmasters. Los mecanismos que puede llevar a cabo el botmaster para monetizar las infecciones son muy variados: desde el envío masivo de correo basura, hasta el robo de credenciales bancarias, la ejecución de ataques de denegación de servicio distribuida y la sustracción de información sensible de las empresas. La principal novedad que presenta esta modalidad de crimen organizado es la sencillez con la que las nuevas variantes de malware son concebidas por lo que se hace necesario que dichas aplicaciones tengan una curva de aprendizaje no excesivamente pronunciada. Así, una de las posibilidades más explotadas recientemente es la utilización de paneles de Command & Control instalados en servidores web y accesibles desde un navegador. Es así como la necesidad da lugar a paneles que terminan por convertirse en avanzadas herramientas de gestión de los nodos infectados desde las que enviar órdenes y distribuir las tareas a realizar. De esta manera, y como complemento de los enfoques tradicionales que detectan la infección a partir de la identificación de ejecutables en los equipos de usuario, se propone un modelo de detección que utilice atributos propios de los paquetes salientes desde/hacia un equipo para identificar la existencia de una conexión maliciosa. Para ello, se hace necesario mejorar los sistemas de caracterización de las conexiones actuales mediante la definición de una metodología para el análisis de muestras de tráfico. El objetivo es que estas puedan ser utilizadas para la identificación de amenazas relativas a las botnets y, concretamente, a los canales de Command & Control que las gestionan. El proceso ha requerido del desarrollo de un modelo vectorial de representación de las conexiones que permita un análisis de los paquetes de acuerdo a la identificación del problema como una tarea de clasificación supervisada sobre la que aplicar diferentes algoritmos empleados en otras áreas de conocimiento dentro de la inteligencia artificial. Así, con el horizonte de avanzar el estado del arte en una línea que permita mejorar la forma en que la amenaza de las botnets es estudiada, se han facilitado metodologías aplicables al desarrollo actual de las botnets y que permitan ampliar las capacidades de los detectores de malware tradicionales.