Identificación automatizada de incidentes de red a través de la selección de características impulsada por algoritmos genéticos
Autores: Aksoy, Ahmet; Valle, Luis; Kar, Gorkem
Idioma: Inglés
Editor: MDPI
Año: 2024
Acceso abierto
Artículo científico
2024
Identificación automatizada de incidentes de red a través de la selección de características impulsada por algoritmos genéticos
Categoría
Ingeniería y Tecnología
Subcategoría
Ingeniería Eléctrica y Electrónica
Palabras clave
Paisaje de ciberseguridad
Ataques DoS
Herramienta NMAP
Botnets DNS
Escaneo de sistemas operativos
Actividades maliciosas
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 31
Citaciones: Sin citaciones
El panorama de la ciberseguridad presenta desafíos intimidantes, especialmente frente a ataques de Denegación de Servicio (DoS) como los ataques DoS Http Unbearable Load King (HULK) y los ataques DoS GoldenEye. Estas tácticas maliciosas están diseñadas para perturbar servicios críticos abrumando servidores web con solicitudes maliciosas. Contrario a los ataques DoS, existe el escaneo de Sistema Operativo (SO) nefasto, que explota vulnerabilidades en sistemas objetivo. Para brindar un mayor contexto, es esencial aclarar que NMAP, una herramienta ampliamente utilizada para identificar SOs de host y vulnerabilidades, no es inherentemente maliciosa, sino una herramienta de doble uso con aplicaciones legítimas, como servicios de inventario de activos en redes de empresas. Además, los botnets de Sistema de Nombres de Dominio (DNS) pueden ser increíblemente perjudiciales al aprovechar numerosos dispositivos comprometidos para inundar un objetivo con tráfico DNS malicioso. Esto puede perturbar servicios en línea, provocando tiempos de inactividad, pérdidas financieras y daño reputacional. Además, los botnets de DNS pueden ser utilizados para otras actividades maliciosas como exfiltración de datos, propagación de malware o lanzamiento de otros ciberataques, convirtiéndolos en una herramienta versátil para ciberdelincuentes. A medida que los atacantes se adaptan y modifican atributos específicos para evadir la detección, nuestro documento presenta un método de detección automatizado que no requiere la intervención de expertos. Este enfoque innovador identifica las características distintivas de los ataques de botnet de DNS, ataques DoS HULK, ataques DoS GoldenEye y escaneo de SO, utilizando explícitamente la herramienta NMAP, incluso cuando los atacantes modifican sus tácticas. Al aprovechar un conjunto de datos representativo, nuestro método propuesto garantiza una detección sólida de tales ataques contra diferentes parámetros de ataque o cambios de comportamiento. Esta mayor resiliencia eleva significativamente el nivel para los atacantes que intentan ocultar sus actividades maliciosas. Importante destacar que nuestro enfoque logró resultados sobresalientes, con una precisión del 95% en la categorización de escaneo de OS de NMAP y ataques de botnet de DNS, y del 100% para ataques DoS HULK y ataques DoS GoldenEye, discerniendo eficientemente entre paquetes de red maliciosos e inofensivos. Nuestro código y el conjunto de datos están disponibles públicamente.
Descripción
El panorama de la ciberseguridad presenta desafíos intimidantes, especialmente frente a ataques de Denegación de Servicio (DoS) como los ataques DoS Http Unbearable Load King (HULK) y los ataques DoS GoldenEye. Estas tácticas maliciosas están diseñadas para perturbar servicios críticos abrumando servidores web con solicitudes maliciosas. Contrario a los ataques DoS, existe el escaneo de Sistema Operativo (SO) nefasto, que explota vulnerabilidades en sistemas objetivo. Para brindar un mayor contexto, es esencial aclarar que NMAP, una herramienta ampliamente utilizada para identificar SOs de host y vulnerabilidades, no es inherentemente maliciosa, sino una herramienta de doble uso con aplicaciones legítimas, como servicios de inventario de activos en redes de empresas. Además, los botnets de Sistema de Nombres de Dominio (DNS) pueden ser increíblemente perjudiciales al aprovechar numerosos dispositivos comprometidos para inundar un objetivo con tráfico DNS malicioso. Esto puede perturbar servicios en línea, provocando tiempos de inactividad, pérdidas financieras y daño reputacional. Además, los botnets de DNS pueden ser utilizados para otras actividades maliciosas como exfiltración de datos, propagación de malware o lanzamiento de otros ciberataques, convirtiéndolos en una herramienta versátil para ciberdelincuentes. A medida que los atacantes se adaptan y modifican atributos específicos para evadir la detección, nuestro documento presenta un método de detección automatizado que no requiere la intervención de expertos. Este enfoque innovador identifica las características distintivas de los ataques de botnet de DNS, ataques DoS HULK, ataques DoS GoldenEye y escaneo de SO, utilizando explícitamente la herramienta NMAP, incluso cuando los atacantes modifican sus tácticas. Al aprovechar un conjunto de datos representativo, nuestro método propuesto garantiza una detección sólida de tales ataques contra diferentes parámetros de ataque o cambios de comportamiento. Esta mayor resiliencia eleva significativamente el nivel para los atacantes que intentan ocultar sus actividades maliciosas. Importante destacar que nuestro enfoque logró resultados sobresalientes, con una precisión del 95% en la categorización de escaneo de OS de NMAP y ataques de botnet de DNS, y del 100% para ataques DoS HULK y ataques DoS GoldenEye, discerniendo eficientemente entre paquetes de red maliciosos e inofensivos. Nuestro código y el conjunto de datos están disponibles públicamente.