Detekce botnetů pomocí periodického chování síťového provozu

Abstract

S rostoucím počtem zařízení připojených k internetu se výrazně zvýšil také počet systémů kompromitovaných botnety. Botnety, forma škodlivého softwaru, představují vážnou kybernetickou hrozbu pro každou moderní organizaci připojenou k internetu. Vzhledem k široké škále útoků a technik šíření, kterými jsou vybaveny, zůstává detekce aktivních botnetů v síti složitým úkolem.

V této práci navrhujeme novou techniku detekce botnetů založenou na periodických komunikačních vzorcích mezi klienty botnetu a jejich řídicími (C\&C) servery. Tato metoda je pozoruhodná tím, že ji lze aplikovat i na šifrovaný provoz. Navržený přístup jsme vyhodnotili pomocí algoritmů strojového učení na zavedeném datasetu botnetů CTU-13 a nově vytvořeném datasetu CESNET-CC25, který jsme sestavili s využitím nejnovějších variant botnetů.With the rise of internet-connected devices, the number of compromised systems has also increased significantly. A form of malicious software called a botnet represents a serious cybersecurity threat to any device connected to the internet. Due to the wide range of attack vectors and propagation techniques, the spread of botnets is increasing. The detection of active botnets within a network is crucial for maintaining network security. However, it remains a complex challenge.

In this thesis, we propose a novel technique for botnet detection based on the periodic communication patterns between botnet clients and their command-and-control (C\&C) servers. Notably, this method can be applied even to encrypted traffic. We evaluated the proposed approach using machine learning algorithms on an established botnet dataset, CTU-13, and a newly constructed dataset, CESNET-CC25, which we created using the latest botnet variants.