Aprovechando la representación de imágenes de datos de tráfico de red y el aprendizaje por transferencia en la detección de botnets
Autores: Taheri, Shayan; Salem, Milad; Yuan, Jiann-Shiun
Idioma: Inglés
Editor: MDPI
Año: 2018
Acceso abierto
Artículo científico
2018
Aprovechando la representación de imágenes de datos de tráfico de red y el aprendizaje por transferencia en la detección de botnets
Categoría
Ingeniería y Tecnología
Subcategoría
Ingeniería de Sistemas
Palabras clave
Ataque de botnet
Seguridad
Técnicas de detección de aprendizaje profundo
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 42
Citaciones: Sin citaciones
Los avances en Internet han permitido conectar más dispositivos a esta tecnología cada día. La aparición de Internet de las cosas ha agregado este crecimiento. La falta de seguridad en un mundo de IoT hace que estos dispositivos sean objetivos calientes para los ciberdelincuentes que realizan sus acciones maliciosas. Una de estas acciones es el ataque de Botnet, que es una de las principales amenazas destructivas que ha estado evolucionando desde 2003 en diferentes formas. Este ataque es una seria amenaza para la seguridad y privacidad de la información. Su escalabilidad, estructura, fortaleza y estrategia también están en constante desarrollo, y ha sobrevivido durante décadas. Un bot se define como una aplicación de software que ejecuta una serie de tareas automatizadas (simples pero estructuralmente repetitivas) a través de Internet. Varios bots forman un botnet que infecta a varios dispositivos y se comunica con su controlador llamado el botmaster para recibir sus instrucciones. Un botnet ejecuta tareas a una velocidad que sería imposible de realizar por un ser humano. Hoy en día, las actividades de los bots están ocultas entre los flujos web normales y ocupan más de la mitad de todo el tráfico web. El uso más grande de los bots es en el rastreo web (web crawler), en el cual un script automatizado recupera, analiza y archiva información de servidores web. También contribuyen a otros ataques, como el de denegación de servicio distribuido (DDoS), SPAM, robo de identidad, phishing y espionaje. Se han propuesto varias técnicas de detección de botnet, como las basadas en honeynet y en el Sistema de Detección de Intrusos (IDS). Estas técnicas ya no son efectivas debido a la actualización constante de los bots y sus mecanismos de evasión. Recientemente, se han propuesto técnicas de detección de botnet basadas en el aprendizaje automático/profundo que son más capaces en comparación con sus contrapartes anteriormente mencionadas. En este trabajo, proponemos un motor de detección de botnet basado en aprendizaje profundo que se utilizará en IoT y dispositivos portátiles. En este sistema, los datos normales y de tráfico de red de botnet se transforman en imagen antes de ser introducidos en una red neuronal convolucional profunda, llamada DenseNet con y sin considerar el aprendizaje por transferencia. El sistema se implementa utilizando el lenguaje de programación Python y el Conjunto de Datos CTU-13 se utiliza para la evaluación en un estudio. Según nuestros resultados de simulación, el uso del aprendizaje por transferencia puede mejorar la precisión del 33.41% al 99.98%. Además, se han utilizado otros dos clasificadores de Máquina de Vectores de Soporte (SVM) y regresión logística. Mostraron una precisión del 83.15% y 78.56%, respectivamente. En otro estudio, evaluamos nuestro sistema con un conjunto de datos normales en vivo interno y un conjunto de datos exclusivamente de botnet. De manera similar, el sistema tuvo un buen rendimiento en la clasificación de datos en estos estudios. Para examinar la capacidad de nuestro sistema para aplicaciones en tiempo real, medimos los tiempos de entrenamiento y prueba del sistema. Según nuestra evaluación, se tarda 0.004868 milisegundos en procesar cada paquete de los datos de tráfico de red durante las pruebas.
Descripción
Los avances en Internet han permitido conectar más dispositivos a esta tecnología cada día. La aparición de Internet de las cosas ha agregado este crecimiento. La falta de seguridad en un mundo de IoT hace que estos dispositivos sean objetivos calientes para los ciberdelincuentes que realizan sus acciones maliciosas. Una de estas acciones es el ataque de Botnet, que es una de las principales amenazas destructivas que ha estado evolucionando desde 2003 en diferentes formas. Este ataque es una seria amenaza para la seguridad y privacidad de la información. Su escalabilidad, estructura, fortaleza y estrategia también están en constante desarrollo, y ha sobrevivido durante décadas. Un bot se define como una aplicación de software que ejecuta una serie de tareas automatizadas (simples pero estructuralmente repetitivas) a través de Internet. Varios bots forman un botnet que infecta a varios dispositivos y se comunica con su controlador llamado el botmaster para recibir sus instrucciones. Un botnet ejecuta tareas a una velocidad que sería imposible de realizar por un ser humano. Hoy en día, las actividades de los bots están ocultas entre los flujos web normales y ocupan más de la mitad de todo el tráfico web. El uso más grande de los bots es en el rastreo web (web crawler), en el cual un script automatizado recupera, analiza y archiva información de servidores web. También contribuyen a otros ataques, como el de denegación de servicio distribuido (DDoS), SPAM, robo de identidad, phishing y espionaje. Se han propuesto varias técnicas de detección de botnet, como las basadas en honeynet y en el Sistema de Detección de Intrusos (IDS). Estas técnicas ya no son efectivas debido a la actualización constante de los bots y sus mecanismos de evasión. Recientemente, se han propuesto técnicas de detección de botnet basadas en el aprendizaje automático/profundo que son más capaces en comparación con sus contrapartes anteriormente mencionadas. En este trabajo, proponemos un motor de detección de botnet basado en aprendizaje profundo que se utilizará en IoT y dispositivos portátiles. En este sistema, los datos normales y de tráfico de red de botnet se transforman en imagen antes de ser introducidos en una red neuronal convolucional profunda, llamada DenseNet con y sin considerar el aprendizaje por transferencia. El sistema se implementa utilizando el lenguaje de programación Python y el Conjunto de Datos CTU-13 se utiliza para la evaluación en un estudio. Según nuestros resultados de simulación, el uso del aprendizaje por transferencia puede mejorar la precisión del 33.41% al 99.98%. Además, se han utilizado otros dos clasificadores de Máquina de Vectores de Soporte (SVM) y regresión logística. Mostraron una precisión del 83.15% y 78.56%, respectivamente. En otro estudio, evaluamos nuestro sistema con un conjunto de datos normales en vivo interno y un conjunto de datos exclusivamente de botnet. De manera similar, el sistema tuvo un buen rendimiento en la clasificación de datos en estos estudios. Para examinar la capacidad de nuestro sistema para aplicaciones en tiempo real, medimos los tiempos de entrenamiento y prueba del sistema. Según nuestra evaluación, se tarda 0.004868 milisegundos en procesar cada paquete de los datos de tráfico de red durante las pruebas.