[DISSERTAÇÃO DE MESTRADO] Detecção de botnets utilizando classificação de fluxos contínuos de dados

Nome do Aluno: 
Local: 
Por videoconferência
Data de Defesa: 
22/12/2020 - 14:00
Banca examinadora: 
Prof. Dr. Rodrigo Sanches Miani - FACOM/UFU (Orientador)
Prof.ª Dr.ª Elaine Ribeiro de Faria Paiva - FACOM/UFU (Coorientadora)
Prof. Dr. Murillo Guimarães Carneiro - FACOM/UFU
Prof. Dr. Kelton Augusto Pontara da Costa - FATEC/UNESP

O ano de 2016 marcou uma significativa mudança de paradigma associada ao comportamento das botnets. Ao infectar dispositivos computacionais não convencionais como câmeras e roteadores domésticos, o malware Mirai propiciou um aumento, não somente na abrangência, mas também na capacidade de ataques das botnets. Este fato enfatiza à importância de desenvolver novos métodos para detectar botnets. Um deles envolve o uso de algoritmos de mineração de fluxos contínuos para classificar tráfego malicioso em uma rede. Embora já existam algumas iniciativas que adotem essa abordagem para detectar botnets, vários problemas de pesquisa ainda estão abertos. Um ponto importante está relacionado ao alto custo e grande esforço dispendido pelos profissionais de segurança para obter dados rotulados. Sendo assim, o principal objetivo deste trabalho abrange a avaliação do uso de algoritmos de mineração de fluxos contínuos de dados para a detecção de botnets considerando requisitos mais próximos aos cenários reais, tais como: i) os fluxos de dados estão constantemente chegando, ii) novos ataques podem surgir e tais ataques não estão presentes no modelo de decisão, iii) poucos fluxos são rotulados e iv) a avaliação da qualidade do classificador deve ser feita atentando-se para o momento em que os fluxos chegam, em particular aqueles em que novos ataques chegam. Ao longo do trabalho, uma série de experimentos foi conduzido usando conjuntos de dados contendo tráfego real de diferentes tipos de botnets. Os resultados experimentais mostram o potencial da classificação de fluxos contínuos de dados para detecção de botnets e revelam que é possível minimizar a quantidade de instâncias rotuladas apresentadas ao classificador, mantendo um bom desempenho.