Arquitetura distribuída e automatizada para mitigação de botnet baseada em análise dinâmica de malwares

Detalhes bibliográficos
Ano de defesa: 2010
Autor(a) principal: Ceron, João Marcelo
Orientador(a): Tarouco, Liane Margarida Rockenbach
Banca de defesa: Não Informado pela instituição
Tipo de documento: Dissertação
Tipo de acesso: Acesso aberto
Idioma: por
Instituição de defesa: Não Informado pela instituição
Programa de Pós-Graduação: Não Informado pela instituição
Departamento: Não Informado pela instituição
País: Não Informado pela instituição
Palavras-chave em Português:
Redes : Computadores
Seguranca : Redes : Comunicacao : Dados
Palavras-chave em Inglês:
Botnet
Bot
Malware analysis
Link de acesso: http://hdl.handle.net/10183/70238
Resumo: Atualmente, uma das mais sérias ameaças a segurança da Internet são as botnets. As botnets - rede de máquinas comprometidas e controladas remotamente por um atacante - caracterizam-se por serem muito dinâmicas. Frequentemente novas características são incorporadas as redes dificultando que ferramentas tradicionais tal como sistemas de antivírus e IDS sejam efetivas. Diante disso, faz-se necessário desenvolver novos mecanismos que possam complementar as atuais técnicas de defesa. Esta dissertação de mestrado apresenta uma proposta de arquitetura para uma ferramenta de mitigação e detecção de botnets baseada em assinatura de rede de máquinas comprometidas por bots. Essa arquitetura automatiza o processo de geração de assinaturas compilando informações de analisadores de malwares gratuitamente disponibilizados na Web. Além disso, utilizouse de monitoração de fluxos através da solução Netflow para identificar o comportamento de rede similar aos mapeados em arquivos maliciosos analisados. Esse comportamento mapeado sinaliza uma possível infecção de máquinas na rede monitorada. Essa identificação dispara eventos na ferramenta proposta que auxiliará o gerente a mitigar a máquina comprometida. Por fim, avaliou-se a solução proposta no contexto de uma grande rede acadêmica: da própria Universidade Federal do Rio Grande do Sul (UFRGS). Os resultados alcançados por essa solução permitiram concluir que 1,5% dos controladores ficam por um longo período (52 dias) realizando atividades maliciosas e, também, observouse um pequeno grupo de controladores responsáveis pela administração de uma grande quantidade de máquinas.
id URGS_85c2e8da649bb4892e96f1e167f101e0
oai_identifier_str oai:www.lume.ufrgs.br:10183/70238
network_acronym_str URGS
network_name_str Biblioteca Digital de Teses e Dissertações da UFRGS
repository_id_str
spelling Ceron, João MarceloTarouco, Liane Margarida Rockenbach2013-04-12T01:45:19Z2010http://hdl.handle.net/10183/70238000876638Atualmente, uma das mais sérias ameaças a segurança da Internet são as botnets. As botnets - rede de máquinas comprometidas e controladas remotamente por um atacante - caracterizam-se por serem muito dinâmicas. Frequentemente novas características são incorporadas as redes dificultando que ferramentas tradicionais tal como sistemas de antivírus e IDS sejam efetivas. Diante disso, faz-se necessário desenvolver novos mecanismos que possam complementar as atuais técnicas de defesa. Esta dissertação de mestrado apresenta uma proposta de arquitetura para uma ferramenta de mitigação e detecção de botnets baseada em assinatura de rede de máquinas comprometidas por bots. Essa arquitetura automatiza o processo de geração de assinaturas compilando informações de analisadores de malwares gratuitamente disponibilizados na Web. Além disso, utilizouse de monitoração de fluxos através da solução Netflow para identificar o comportamento de rede similar aos mapeados em arquivos maliciosos analisados. Esse comportamento mapeado sinaliza uma possível infecção de máquinas na rede monitorada. Essa identificação dispara eventos na ferramenta proposta que auxiliará o gerente a mitigar a máquina comprometida. Por fim, avaliou-se a solução proposta no contexto de uma grande rede acadêmica: da própria Universidade Federal do Rio Grande do Sul (UFRGS). Os resultados alcançados por essa solução permitiram concluir que 1,5% dos controladores ficam por um longo período (52 dias) realizando atividades maliciosas e, também, observouse um pequeno grupo de controladores responsáveis pela administração de uma grande quantidade de máquinas.Currently, botnets are one of the most serious threats of Internet security. The botnets - network of compromissed machines remotely controlled by an attacker - are being very dynamic threats. Often new features are incorporated into thismalicious networksmaking hard for traditional tools, such as antivirus and IDS, to be effective. Therefore, it is necessary to develop new mechanisms that can complement the current defense techniques. This dissertation presents an architecture for a tool for botnet mitigation and detection. The tool is based in network signature obtained from bot compromissed machine’s. This architecture automates the process of signature generation compiling information from online malwares analyze tools. Furthermore, flows monitoring tools was used to identify similar behavior to those mapped in malware (bot) analyzed by the system. This mapped behavior in flows indicates possible compromissed machines, with this, the system triggers events to help the security manager to mitigate the compromissed machines. Finally, the proposed solution was evaluated in a academic network: in the Federal University of Rio Grande do Sul. The results achieved by this solution helped to observe that more than 1.5% of the botnet controllers’s remain active for a long period of time (52 days) performing malicious activities. Also, was observed a small group of controllers responsible for the adminstration of a large number of compromissed machines.application/pdfporRedes : ComputadoresSeguranca : Redes : Comunicacao : DadosBotnetBotMalware analysisArquitetura distribuída e automatizada para mitigação de botnet baseada em análise dinâmica de malwaresAn automated and distributed architecture for botnet mitigation based in dynamic malware analysis info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisUniversidade Federal do Rio Grande do SulInstituto de InformáticaPrograma de Pós-Graduação em ComputaçãoPorto Alegre, BR-RS2010mestradoinfo:eu-repo/semantics/openAccessreponame:Biblioteca Digital de Teses e Dissertações da UFRGSinstname:Universidade Federal do Rio Grande do Sul (UFRGS)instacron:UFRGSORIGINAL000876638.pdf000876638.pdfTexto completoapplication/pdf1615907http://www.lume.ufrgs.br/bitstream/10183/70238/1/000876638.pdf04f55e7b77c5c32cbb2f96e206f6176dMD51TEXT000876638.pdf.txt000876638.pdf.txtExtracted Texttext/plain188598http://www.lume.ufrgs.br/bitstream/10183/70238/2/000876638.pdf.txtafebc3f286ef2d58f50f7187c157a855MD52THUMBNAIL000876638.pdf.jpg000876638.pdf.jpgGenerated Thumbnailimage/jpeg1039http://www.lume.ufrgs.br/bitstream/10183/70238/3/000876638.pdf.jpgc4a060c746dbf50680210e4ec3bbfe84MD5310183/702382018-10-15 09:01:58.781oai:www.lume.ufrgs.br:10183/70238Biblioteca Digital de Teses e Dissertaçõeshttps://lume.ufrgs.br/handle/10183/2PUBhttps://lume.ufrgs.br/oai/requestlume@ufrgs.br||lume@ufrgs.bropendoar:18532018-10-15T12:01:58Biblioteca Digital de Teses e Dissertações da UFRGS - Universidade Federal do Rio Grande do Sul (UFRGS)false
dc.title.pt_BR.fl_str_mv Arquitetura distribuída e automatizada para mitigação de botnet baseada em análise dinâmica de malwares
dc.title.alternative.en.fl_str_mv An automated and distributed architecture for botnet mitigation based in dynamic malware analysis
title Arquitetura distribuída e automatizada para mitigação de botnet baseada em análise dinâmica de malwares
spellingShingle Arquitetura distribuída e automatizada para mitigação de botnet baseada em análise dinâmica de malwares
Ceron, João Marcelo
Redes : Computadores
Seguranca : Redes : Comunicacao : Dados
Botnet
Bot
Malware analysis
title_short Arquitetura distribuída e automatizada para mitigação de botnet baseada em análise dinâmica de malwares
title_full Arquitetura distribuída e automatizada para mitigação de botnet baseada em análise dinâmica de malwares
title_fullStr Arquitetura distribuída e automatizada para mitigação de botnet baseada em análise dinâmica de malwares
title_full_unstemmed Arquitetura distribuída e automatizada para mitigação de botnet baseada em análise dinâmica de malwares
title_sort Arquitetura distribuída e automatizada para mitigação de botnet baseada em análise dinâmica de malwares
author Ceron, João Marcelo
author_facet Ceron, João Marcelo
author_role author
dc.contributor.author.fl_str_mv Ceron, João Marcelo
dc.contributor.advisor1.fl_str_mv Tarouco, Liane Margarida Rockenbach
contributor_str_mv Tarouco, Liane Margarida Rockenbach
dc.subject.por.fl_str_mv Redes : Computadores
Seguranca : Redes : Comunicacao : Dados
topic Redes : Computadores
Seguranca : Redes : Comunicacao : Dados
Botnet
Bot
Malware analysis
dc.subject.eng.fl_str_mv Botnet
Bot
Malware analysis
description Atualmente, uma das mais sérias ameaças a segurança da Internet são as botnets. As botnets - rede de máquinas comprometidas e controladas remotamente por um atacante - caracterizam-se por serem muito dinâmicas. Frequentemente novas características são incorporadas as redes dificultando que ferramentas tradicionais tal como sistemas de antivírus e IDS sejam efetivas. Diante disso, faz-se necessário desenvolver novos mecanismos que possam complementar as atuais técnicas de defesa. Esta dissertação de mestrado apresenta uma proposta de arquitetura para uma ferramenta de mitigação e detecção de botnets baseada em assinatura de rede de máquinas comprometidas por bots. Essa arquitetura automatiza o processo de geração de assinaturas compilando informações de analisadores de malwares gratuitamente disponibilizados na Web. Além disso, utilizouse de monitoração de fluxos através da solução Netflow para identificar o comportamento de rede similar aos mapeados em arquivos maliciosos analisados. Esse comportamento mapeado sinaliza uma possível infecção de máquinas na rede monitorada. Essa identificação dispara eventos na ferramenta proposta que auxiliará o gerente a mitigar a máquina comprometida. Por fim, avaliou-se a solução proposta no contexto de uma grande rede acadêmica: da própria Universidade Federal do Rio Grande do Sul (UFRGS). Os resultados alcançados por essa solução permitiram concluir que 1,5% dos controladores ficam por um longo período (52 dias) realizando atividades maliciosas e, também, observouse um pequeno grupo de controladores responsáveis pela administração de uma grande quantidade de máquinas.
publishDate 2010
dc.date.issued.fl_str_mv 2010
dc.date.accessioned.fl_str_mv 2013-04-12T01:45:19Z
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv http://hdl.handle.net/10183/70238
dc.identifier.nrb.pt_BR.fl_str_mv 000876638
url http://hdl.handle.net/10183/70238
identifier_str_mv 000876638
dc.language.iso.fl_str_mv por
language por
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
dc.source.none.fl_str_mv reponame:Biblioteca Digital de Teses e Dissertações da UFRGS
instname:Universidade Federal do Rio Grande do Sul (UFRGS)
instacron:UFRGS
instname_str Universidade Federal do Rio Grande do Sul (UFRGS)
instacron_str UFRGS
institution UFRGS
reponame_str Biblioteca Digital de Teses e Dissertações da UFRGS
collection Biblioteca Digital de Teses e Dissertações da UFRGS
bitstream.url.fl_str_mv http://www.lume.ufrgs.br/bitstream/10183/70238/1/000876638.pdf
http://www.lume.ufrgs.br/bitstream/10183/70238/2/000876638.pdf.txt
http://www.lume.ufrgs.br/bitstream/10183/70238/3/000876638.pdf.jpg
bitstream.checksum.fl_str_mv 04f55e7b77c5c32cbb2f96e206f6176d
afebc3f286ef2d58f50f7187c157a855
c4a060c746dbf50680210e4ec3bbfe84
bitstream.checksumAlgorithm.fl_str_mv MD5
MD5
MD5
repository.name.fl_str_mv Biblioteca Digital de Teses e Dissertações da UFRGS - Universidade Federal do Rio Grande do Sul (UFRGS)
repository.mail.fl_str_mv lume@ufrgs.br||lume@ufrgs.br
_version_ 1831315925140242432

Registros relacionados