Sistema de Deteco de Intrusos Hbrido para Botnets utilizando algoritmo de Otimizao de Enxame de Partculas

Raimundo P. da Cunha Neto, Frederico I. L. Lopes, Valria Priscilla M. Fernandes e Zair Abdelouahab Laboratrio de Sistemas em Arquiteturas Computacionais (LABSAC) Universidade Federal do Maranho (UFMA) So Lus MA Brasil
{netocunhathe, fredericoslz, valpriscilla}@gmail.com, zair@dee.ufma.br

Abstract: Nowadays computer networks suffer from a major security problem known as botnets, which are networks composed by compromised computers waiting for commands from its controller to perform actions commonly malicious. This paper presents an hybrid intrusion detection system whose purpose botnet detection method supported by the artificial intelligence method Particle Swarm Optimization (PSO). The results achieved by the system were satisfactory in identifying attacks from botnets. Resumo: Atualmente as redes de computadores sofrem com um grande problema de segurana conhecido como botnets, que so redes de computadores comprometidos a espera de comandos do seu controlador para a realizao aes geralmente maliciosas. Este trabalho apresenta um sistema de deteco de intrusos hibrido cuja finalidade a deteco de botnets auxiliado pelo mtodo de inteligncia artificial Otimizao de Enxame de Partculas (PSO). Os resultados alcanados pelo sistema foram satisfatrios na identificao de ataques oriundos de botnets.

1. Introduo
A tecnologia de redes de computadores vem se tornando ao longo dos anos muito utilizada em diversas aplicaes como em corporaes e ambientes domsticos devido facilidade de implantao e praticidade de sua utilizao. A implantao generalizada de redes tambm gerou novos desafios segurana e privacidade. Sua estrutura organizacional favorece a invaso de inmeras formas de ataque, como negao de servio, sniffing, man in the middle, entre outros. Dentre os crescentes ataques, as botnets vm se destacando pela organizao de realizar os ataques de forma distribuda e pelos impactos provocados em grandes redes pelo mundo, o que provocaria grandes estragos nos dispositivos mveis e em seus servios implementados. Dentre as ferramentas de defesas atuais, destacamos os Sistemas de Deteco de Intrusos (IDS - Intrusion Detection Systems) como mecanismos que focam na deteco das atividades intrusivas em redes [Feily et al 2009]; muitas das tecnologias de IDS propostas se complementam, pois, para diferentes tipos de ambientes algumas abordagens possuem melhor desempenho. O IDS proposto neste trabalho visa na coleta de dados e anlise de pacotes utilizando a tcnica de deteco por assinaturas, como

tambm por anomalias, com o uso de algoritmo de otimizao por enxame de partculas (PSO - Particle Swarm Optimization). Ele apoiado por uso de agentes para ampliar a deteco de intrusos. O objetivo deste IDS detectar ataques provenientes de botnet. Este artigo apresenta-se da seguinte forma. A seo 2 apresenta uma viso geral sobre botnets, a seo 3 uma viso geral sobre ids, a seo 4 apresenta uma viso geral sobre otimizao de partculas, a seo 5 tem-se os trabalhos relacionados. A arquitetura e implementao do modelo proposto esto apresentados na seo 6, a seo 7 mostra os resultados obtidos com a concluso na seo 8.

2. Botnet
As botnets so definidas como redes de computadores infectadas que recebem comandos, enviados por um operador humano denominado botmaster para realizar atividades criminosas [Choi et al 2009], incluindo envio de e-mail spam, phishing, fraudes, roubo de informaes e ataques [Feily et al 2009] [Zhu et al 2008]. Os bots so dispositivos hospedeiros projetados para executar algumas funes pr-definidas de forma automatizada, que permite ao botmaster controlar remotamente as aes de ataque. [Feily et al 2009] [Zhu et al 2008] [Szymczyk 2009]. Diferentemente de outros malwares, como vrus e worms, que tem como principal foco atacar o hospedeiro infectado, as botnets possuem uma estrutura de comando e controle, denominado Servidores Comandos e Controle (C&C) que recebem comandos do Botmaster e repassam para os bots, para que possam executar as instrues recebidas, utilizando uma plataforma de ataque distribudo. [Zeidanloo and Manaf 2010] [Zeidanloo et al 2010] [Wang and Gong 2009]. De acordo com sua estrutura C&C as botnets podem ser baseadas em IRC, HTTP, ou Peer to Peer (P2P) [Feily et al 2009]. 2.1 Topologias Existem duas topologias de botnets, a saber: Centralizado: Um ponto central responsvel pela troca de comandos e dados entre o botmaster e os bots. A principal vantagem deste modelo a pequena latncia de mensagens pelo botmaster para a realizao de ataques nos bots. Uma vez que todas as conexes acontecem atravs do C&C, este acaba sendo o ponto crtico neste modelo. Pois se um destes servidores for eliminado, toda botnet pode ser comprometida. Assim, ele se torna o principal fator negativo deste modelo [Zeidanloo and Manaf 2010]; Os protocolos HTTP e IRC esto includos nesta topologia. Distribudo: Bots no se comunicam com o C&C, mas com outras bots [Chang et al 2009] [Ruitenbeek and Sanders 2008] [Al-Hammadi and Aickelin 2010]. Esta abordagem aumenta a confiabilidade da botnet, mas complica a gesto e reduz a velocidade de ao. Cada n funciona como cliente e servidor que fornece armazenamento de largura de banda e poder computacional. Usando esta abordagem, os bots so capazes de se comunicar com outros bots por download de arquivos ou comandos de mquinas de outras bots. Para detectar e desligar a

bot seria necessrio isolar cada mquina. [Zhu et al 2008]. Nesta topologia o protocolo P2P pertence. 2.2 Ciclo de Vida da botnet O ciclo de vida de uma botnet constitui em quatro etapas: Infeco Inicial: Um computador pode ser infectado de diferentes maneiras, tais como: vulnerabilidade da mquina, download feito automaticamente durante a visualizao de pginas web, atravs da abertura de e-mail ou por um arquivo infectado, geralmente enviado como spam. A vtima ao abrir o arquivo, acaba transformando seu computador em uma bot. A infeco feita diretamente atravs da rede ou indiretamente atravs da interao com o usurio; Injeo Secundria: A comunicao entre o bot e o C&C iniciada. O bot ficar no aguardo dos comandos pelo botmaster; Atividade Maliciosa: A comunicao entre as bots e o C&C feita para obter os comandos para a realizao de atividades, tais como: envios de dados pessoais, envio de spam, ataques DDOS, entre outros. Atualizao e Manuteno: A fim de manter a botnet indetectvel, constantes alteraes nos cdigos-fontes so feitas e os novos arquivos gerados precisam ser carregados nas bots. Com um comando o botmaster pode fazer esses arquivos chegarem aos bots, como tambm fazer os bots trocarem de C&C.

3. Sistemas de Deteco de Intrusos

IDS um suporte de novas tecnologias de segurana que monitoram o sistema de rede sem afetar o seu desempenho interno e externo para prevenir ataques e o uso indevido [Zhu et al 2008]. Atuam tambm, como ferramentas de segurana que, assim como outras medidas, como antivrus, firewalls e sistemas de controle de acesso, se destinam a reforar a segurana dos sistemas de informao e comunicao [Szymczyk 2009] [Garca et al 2009]. Normalmente contm dois tipos de componentes: coleta e anlise de dados. Quanto coleta de dados do sistema de deteco so divididos em: IDS baseado em Host (HIDS): Coleta dados relacionados somente na maquina onde ele est instalado; IDS baseado em Redes (NIDS): Coleta de dados de uma rede ou sub-rede de computadores; Em relao ao tipo de deteco, eles podem ser divididos em: IDS baseado em Assinaturas: Visa na deteco de intrusos atravs da utilizao de assinaturas de ataques. Estas assinaturas so compostas por um conjunto de regras que caracteriza o intruso. Possui a vantagem de uma deteco imediata e impossibilidade de falsos positivos, mas essa abordagem somente detecta botnets que so conhecidas; IDS baseados em anomalias: Tcnicas de deteco baseado em anomalias visam detectar intrusos com base nas anomalias do trfego de rede [Garca et al

2009] [Sabahi and Movaghar 2008], tais como a alta latncia da rede, elevados volumes de trfego, o trfego em portas incomuns e comportamento anormal do sistema, que poderiam indicar a presena de atividades maliciosas na rede [Feily et al 2009] [Szymczyk 2009]. A vantagem deste mtodo a deteco de botnets desconhecidas. Como desvantagem produz um grande nmero de falsos positivos, devido ao comportamento imprevisvel dos usurios; IDS Hbrido: Combina os dois mtodos de analise de dados. Implantam estes dois mtodos de uma forma em duas fases para identificar ataques novos e desconhecidos. Seu objetivo elevar a taxa de deteco e reduzir a taxa de falsos positivos. No entanto, um mdulo de tomada de deciso usado para integrar os resultados, detectar e relatar os tipos de ataques.

4. Otimizao por Enxame de Partcula

O PSO um algoritmo de otimizao simples, eficaz e computacionalmente eficiente, com o seguinte funcionamento [Bassel Soudan and Mohamed Saad 2008]: Inicialmente, partculas so colocadas aleatoriamente num hiper-espao, podendo adotar velocidades tambm aleatrias: Indivduos interagem com um nmero k de vizinhos Uma partcula possui: Uma coordenada no espao de busca (xi) Uma velocidade (vi) A cada interao a velocidade aumenta em direo a melhor posio que a anterior e em direo a melhor posio de seus vizinhos. Conceito de melhor posio: Altera a velocidade para nos levar a essa posio Esquecer ou aprender so vistos como aumentar ou diminuir o valor da posio da partcula PSO tem suas razes na psicologia social, sendo sua inteligncia resultado de interaes entre os indivduos.

5. Trabalhos Relacionados
IDS tradicionais possuem dificuldades em detectar botnets, isso pelo fato destas possurem caractersticas dinmicas e tambm por serem constantemente melhoradas por desenvolvedores mal intencionados, para se tornarem mais resistentes contra deteco e tcnicas de depurao [Choi et al 2009]. Novas tcnicas de deteco esto sendo desenvolvidas, destacamos a seguir algumas delas. Snort um IDS open-source que monitora o trfego de rede para encontrar sinais de invaso. Como a maioria dos IDS, o Snort est configurado com um conjunto de regras ou assinaturas para registrar o trfego que considerado suspeito. No entanto, as tcnicas de deteco baseada em assinaturas podem ser usadas para deteco de botnets conhecidas. Consequentemente esta soluo no funcional para botnets desconhecidas. BotSniffer [Gu et al 2008] um NIDS baseado em anomalia que explora a correlao espao-temporal e similaridade e detecta qualquer suspeito C&C, emitindo o

alerta. Emprega vrias correlaes e anlise de similaridade para analisar o trfego da rede. Foi projetado para detectar botnets usando o protocolo IRC ou HTTP, mas pode ser facilmente estendido para incluir outros protocolos. Os resultados mostram que o BotSniffer pode detectar botnets com alta preciso e com uma taxa muito baixa de falsos positivos. E tambm, tem a capacidade de detectar botnet C&C, mesmo quando existe apenas um bot na rede monitorada. Alm disso, seu mecanismo de correlao gera relatrios de forma precisa e concisa em vez de produzir alertas de eventos maliciosos como um IDS tradicional faz [Choi et al 2009]. aplicvel a um conjunto restrito de botnets, no se aplicando a estrutura de botnets descentralizadas. O mecanismo de deteco BotGAD centra-se na propriedade de comportamento da botnet, e no no contedo ou em assinaturas do trfego. Pode detectar botnets em redes de larga escala em tempo real, uma vez que trabalha com uma pequena quantidade de dados [Choi et al 2009]. Como os bots frequentemente usam DNS para reunir hosts infectados, para lanar ataques e atualizar seus cdigos, a proposta do BotGAD revelar os nomes de domnio dos C&C desconhecidos e os endereos IP de hosts infectados. Visto que as botnets frequentemente usam DNS para a sua manifestao. A deteco de botnet baseada em DNS vem ser uma das mais promissoras, pois detecta redes de bots independentemente de sua estrutura. A contribuio deste trabalho est na integrao do PSO ids, que com a determinao do comportamento dos hosts na rede, o que estiver operando fora deste padro ser considerado como suspeito.

6. Arquitetura e Implementao
A arquitetura proposta emprega a deteco de botnet por uso estratgico de anlise por assinaturas e anomalias, visto que esta ltima tcnica emprega conceitos de PSO para identificar comportamentos anormais dos hosts na rede. Este monitoramento baseia-se em informaes coletadas do trfego de rede. No prottipo desenvolvido, como visto na Figura 1, a captura de pacotes coletados iniciada pelo agente de monitoramento. Aps sua captura estes pacotes so encaminhados para o agente de filtragem. Este ao receber os pacotes, realiza a filtragem dos mesmos segundo informaes do banco de dados da Blacklist. Aps a realizao deste filtro, os dados sobre pacotes infectados sero armazenadas como ataques detectados para notificao do agente de reao, para realizar medidas de ao, finalizando o processo. Os pacotes no detectados pelo filtro so encaminhados para o agente de assinatura. Na fase de anlise por assinatura, o agente verifica se alguma das assinaturas de ataques de botnet foi identificada. Caso uma assinatura seja encontrada encaminhada a notificao ao agente de reao, onde o mesmo tomar as medidas de acordo com o ataque existente. Caso contrrio, o agente de assinatura no detecte o ataque nos pacotes, sero enviados para o agente de anlise por anomalia. Na etapa seguinte, o agente de anomalia avalia todos os pacotes recebidos, segundo medidas de anomalia, que foram determinadas atravs da tcnica de PSO, que verificou o comportamento dos hosts ao longo do treinamento na rede, criando um perfil para os mesmos. Aps anlise ser tomado outro ponto de deciso. Se alguma anomalia

for detectada, so tomadas medidas de notificao ao agente de reao para tomar as devidas aes e estabelecer o fim do processo. Se no for encontrado nenhuma anomalia os pacotes so descartados e processo ser finalizado.
Atividade maliciosa

Captura e filtragem dos pacotes

Atividade maliciosa Assinaturas Alerta de ataque

Anomalias

Atividade maliciosa

Trfego descartado

Figura 1. Fluxograma de Atividades do IDS proposto.

Com relao aos trabalhos relacionados, o modelo proposto prev vrias caractersticas deles em um s.
Deteco Correlao Vertical Correlao Horizontal Host Rede Bot criptografado Botnet Centralizada Botnet Descentralizada Bot Individual Atividade em Grupo BotGAD No Sim No Sim Sim Sim Sim No Sim Snort Sim No Sim Sim No Sim No Sim No Botsniffer No Sim No Sim Sim Sim No No Sim Modelo Proposto Sim Sim Sim Sim Sim Sim Sim Sim Sim

Tabela 1. Comparativo do modelo proposto com outras IDS.

7. Testes e resultados
A fim de comprovar o funcionamento da proposta, foi montada uma pequena rede composta de quatro computadores. Dois destes com trs mquinas virtuais cada, com a finalidade de aumentar o numero de bots. Um computador seria o alvo dos ataques e o ltimo estaria funcionando com o IDS.

Para a realizao dos testes de deteco da ferramenta foi necessrio um treinamento dos hosts para a determinao da execuo do perfil ideal para os hosts em aplicao, antes das mquinas serem infectadas. A botnet utilizada nos testes foi a Rxbot, botnet que tem como protocolo de comunicao o canal IRC. Foram enviados comandos para que os computadores que estavam com as mquinas virtuais instaladas realizassem ataques de DDOS mquina-alvo. Na verificao do trfego, aps os cinco dias de coletas de dados, foram analisados pela ferramenta, que em sua grande maioria dos ataques detectados foram pelo Agente de Anlise de Assinatura, correspondente a 58,37% das botnets encontradas na sub-rede da UFMA. Seguido pelo Agente de Filtragem, com 31,43% de deteco e 10.20% pelo Agente de Anlise de Anomalia, num total de 245 invasores identificados pelo prottipo. Est anlise demonstra a necessidade da ao conjunta do Sistema de Deteco de Intruso Hbrido para verificaes de invases provenientes de botnets, e que os ataques foram identificados com maior eficcia e rapidez, devido a possibilidade de eliminao de pacotes na filtragem pela Blacklist. De acordo com as botnets detectadas na anlise por assinatura, observamos uma prevalncia das botnets SDBot e SpyBot com 32,87% das botnets identificadas. Tambm identificamos que a grande maioria das botnets so baseadas em protocolo de comunicao IRC, conforme Tabela abaixo.
Assinatura de botnets AGOBot Bototer CodBot Dogrobot IRCBot Kbot LoIBot PushBot rBot SDBot SlefBot SpyBot Zbot Tipo de Protocolo IRC, HTTP IRC, HTTP, P2P IRC IRC, P2P IRC IRC IRC IRC IRC IRC IRC IRC, P2P HTTP Quantidade 15 3 7 3 13 12 2 3 17 24 7 23 14

Tabela 2. botnets Detectadas por Meio de Assinaturas.

8. Concluso
O estudo confirmou um resultado satisfatrio da ferramenta de deteco de botnets, e que nas redes internas nas organizaes no necessrio coleta de grandes volumes de dados, pois a ao de botnets no so duradouras dentro de uma rede, em especial a de atividades de ataques, portanto necessrio a identificao em tempo real do intruso.

9. Referncias
Feily, M. and Shahrestani, A. and Ramadass, S. (2009) A Survey of Botnet and Botnet Detection, in: Third International Conference on Emerging Security Information, Systems and Technologies. Zhu, Z. and Lu, G. and Chen, Y. and Fu, Z. J. and Roberts, P. and Han, K. (2008) Botnet Research Survey, in: Annual IEEE International Computer Software and Applications Conference. Szymczyk, M. (2009) Detecting Botnets in Computer Networks Using Multi-Agent Technology, in: Fourth International Conference on Dependability of Computer Systems. Zeidanloo, H. R. and Manaf, A. B. A. (2010) Botnet Detection by Monitoring Similar Communication Patterns, in: International Journal of Computer Science and Information Security. Wang, H. and Gong, Z. (2009) Collaboration-based botnet Detection Architecture, in: Second International Conference on Intelligent Computation Technology and Automation. Choi, H. and Lee, H .and Kim, H. (2009) BotGAD: Detecting botnets by Capturing Group Activities in Network Traffic in: Fourth International ICST Conference on Communication System Software and Middleware. Chang, S. and Zhang, L. and Guan, Y. and Daniels, T. E. (2009) A Framework for P2P Botnets, in: International Conference on Communications and Mobile Computing. Ruitenbeek, E.V. and Sanders, W. H. (2008) Modeling Peer-to-Peer Botnets. In QEST, pages 307-316. Al-Hammadi, Y. and Aickelin, U. (2010) Behavioural Correlation for Detecting P2P Bots, in: Second International Conference on Future Networks. Garca, T. P. and Daz, V. J. and Maci, F. G. and Vzquez, E. (2009) Anomaly-based network intrusion detection: Techniques, systems and challenges in: Computers & Security. Sabahi, F. and Movaghar, A. (2008) Intrusion Detection: A Survey, in: The Third International Conference on Systems and Networks Communications. Gu, G. and Zhang, J. and Lee, W. (2008) BotSniffer: detecting Botnet command and control channels in network traffic, in: Annual Network and Distributed System Security Symposium. Sinha, P. and Boukhtouta, A. and Belarde, V. H. and Debbabi, M. (2010) Insights from the Analysis of the Mariposa Botnet, in: Fifth International Conference on Risks and Security of Internet and Systems. Bassel Soudan and Mohamed Saad. An Evolutionary Dynamic Population Size PSO Implementation. Information and Communication Technologies: From Theory to Applications, 2008.