Análisis y detección de botnets mediante minería de datos en la Facultad de Ingeniería en Sistemas, Electrónica e Industrial de la Universidad Técnica de Ambato

Abstract

El estudio principal de este proyecto se centra en el análisis de botnets mediante la minería de datos, obteniendo como origen de datos los logs de queries del servidor DNS que captura en su totalidad todas las peticiones de los dispositivos conectados, por lo que se puede obtener un análisis y una visión global de las peticiones al servidor DNS. Splunk Enterprise facilita la recopilación, el análisis y el uso de los big data generados por una infraestructura tecnológica [12], en este caso los archivos de query-logs del servidor DNS, con las facilidades y plugins de este software se puede proporcionar una manera prometedora de lidiar con problemas de seguridad como la detección de botnets. La tarea de detección se completa con el desarrollo de un proceso que analiza los tiempos de conexión, números de conexiones muertas y consultas a bases de datos de botnets descubiertos, con la cooperación del machine learning y el algoritmo “random forest” se, puede realizar un análisis y una detección de botnets eficiente con un margen de error de +- 5.44 aproximadamente, lo que demuestra que es un método válido, los resultados experimentales fueron validados con botnets ya descubiertas. El método desarrollado ayuda a generar ficheros que pueden ser incluidos en las listas negras de los servidores dns o proxies para ser bloqueados definitivamente, lo cual ayudará a que los dispositivos conectados a la red no respondan a las órdenes de los servidores C&C, las limitaciones de este método son que no se puede detectar un botnet en tiempo real sino cuando el ataque ya fue realizado así que funciona como una medida correctiva.