Analýza chování a detekce IoT malwaru používající protokol IRC

Abstract

Bezpečnost IoT zařízení představuje vážnou hrozbu pro miliony lidí. IoT zařízení je velmi obtížné chránit a obvykle končí jako součást Botnet sítě, která následně útočí na jiná zařízení na světě. V posledních letech byl IRC protokol znovu objeven jako hlavní command-and-control protokol pro IoT botnety. IRC je starý a dobře známý protokol, ale nebyl zkoumán v souvislosti s IoT malwarem. Tato práce si klade za cíl studovat problém identifikace a klasifikace IoT botnetů, které používají protokol IRC. Náš návrh detekovat škodlivý IRC provoz v síti má dvě části. Nejprve představíme detekci pomocí technik strojového učení na základě toho, čemu říkáme IRC tříčlenné n-tice. IRC tříčlenná n-tice je definována jako skupina toků mezi shodnou zdrojovou IP adresou, cílovou IP adresou a cílovým portem. Výsledný model strojového učení dosáhl F1-skóre 95.24%. V~druhé části práce navrhujeme techniku, která analyzuje vlastnosti IRC kanálů a IRC uživatelů a aplikuje strojové učení pro detekci. Tato technika studuje vlastnosti IRC kanálů, jako je entropie zpráv, a vlastnosti IRC uživatelů, jako je rozmanitost jejich zpráv, za účelem nalezení škodlivého přenosu IRC. Náš model strojového učení na detekci škodlivých IRC kanálů dosáhl F1-skóre 80.00% a model na detekci škodlivých IRC uživatelů vykázal F1-skóre 66.67%. Byl navržen a vytvořen nový dataset tak, aby zahrnoval skutečný IRC provoz z IoT zařízení infikovaných malwarem a neškodlivý IRC provoz získaný z velké univerzity. Nakonec bylo provedeno srovnání s nejmodernějšími IDS Snort a Suricata, aby se ověřilo, že naše technika byla správná. Výsledná práce byla publikována pro veřejnost jako nový Zeek modul a jako modul pro systém Slips (Stratosphere Linux IPS).

The security of IoT devices represents a severe concern to millions of people. IoT devices are very hard to defend, and very easy to attack, usually ending up as part of a botnet network that in turn attacks other devices around the world. In the past years, the IRC protocol has been re-discovered as the main Command and Control protocol for IoT botnets. IRC is an old and well-known protocol, but it has not been studied yet in terms of IoT malware. This thesis studies the problem of identification and classification of IoT botnets that use the IRC protocol. Our proposal to detect IRC botnet traffic in a network has two main parts. First, we present a machine learning detection based on what we call 3-tuple IRC sessions. An IRC 3-tuple session is defined as the group of flows between a source IP address, a destination IP address, and a destination port. 3-tuples allow us to gather and identify all the flows related to the same IRC session and server. Our machine learning model obtained 95,24% F1-score in this task. Second, we propose a technique that analyzes the characteristics of IRC channels and IRC users, and applies machine learning for detection. This technique studies certain features of IRC channels, such as entropy of the messages, and features of IRC users, such as diversity of their messages, in order to find malicious IRC traffic. Our machine learning model on IRC channels obtained 80% F1-score and the one on IRC users obtained 66.67% F1-score. A new dataset was used (designed and created by the Aposemat Project) that includes real IRC traffic from malware executions and benign IRC traffic from a large University. Finally, a comparison against the state-of-the-art Intrusion Detection Systems Snort and Suricata was done in order to verify that our technique was sound. All the code of the detectors was published as a new public Zeek module and as a module for the Slips system (Stratosphere Linux IPS).