| Título: | Detecção de remote access trojan com ferramentas de big data |
| Autor(es): | Tamanqueira, Felipe Edson Pereira |
| Orientador(es): | Deus, Flávio Elias Gomes de |
| Assunto: | Aprendizado de máquina
Redes de computação - medidas de segurança
Malware (Software) |
| Data de apresentação: | Dez-2017 |
| Data de publicação: | 30-Dez-2022 |
| Referência: | TAMANQUEIRA, Felipe Edson Pereira. Detecção de remote access trojan com ferramentas de big data. 2017. 120 f., il. Trabalho de conclusão de curso (Bacharelado em Engenharia de Redes de Comunicação) — Universidade de Brasília, Brasília, 2017. |
| Resumo: | Remote Access Trojan (RAT) é um tipo de malware que permite ao atacante acesso com privilégios administrativos à máquina infectada, sendo capaz de executar diversas ações, tais como roubo de informações pessoais e monitoramento das atividades da vítima. Devido ao crescente surgimento de códigos maliciosos, há a necessidade de se criar ferramentas e métodos de prevenção que impeçam novos ataques. Este trabalho apresenta uma proposta de sistema de detecção de RAT, baseado em anomalia de comportamento, cujo funcionamento não precisa da assinatura do malware para ser eficaz. A modelagem do comportamento das conexões é feita com os algoritmos de machine learning K-means, o qual fornece a identificação de grupos de conexões similares, a partir de características das conexões que apresentam valores próximos, e o Random Forest que é utilizado para classificar os fluxos de conexões em normal ou em RAT, segundo os valores extraídos das características das conexões e grupos identificados na captura do tráfego. E para que seja aplicável a qualquer cenário de redes de computadores, foram utilizadas ferramentas de big data, por serem capazes de suportar grandes fluxos de dados. O framework utilizado nesta aplicação é o Apache Spark por que realiza processamento em memória e pode ser aplicado como sistema distribuído, tornando a implementação escalável e com elevado desempenho de execução. Os requisitos de desenvolvimento deste projeto foram: tempo máximo de execução de cinco minutos, baixo custo computacional e acurácia do modelo similar ou superior aos trabalhos relacionados. Assim, após a implementação do projeto, foi possível detectar conexões de novos RAT, apenas com as características de conexões dessa classe de malware, obtendo acurácia de 95%, taxa de falso negativo de 9.9% e taxa de falso positivo de 4.7%. O tempo de execução da detecção se aproximou de um minuto no modo standalone, ao utilizar 512 MB de memória RAM DDR3 1333 Mhz e oito núcleos de processadores Intel(R) Xeon(R) CPU E5-2650 v2 2.6 Ghz, aplicado em uma captura de 72 GB com diversos tipos de aplicações. |
| Abstract: | Remote Access Trojan (RAT) is a type of malware that allows the attacker access with administrative privileges to the infected machine, being able to perform several actions, such as stealing personal information and monitoring the victim's activities. Due to the increasing appearance of malicious code, there is a need to create prevention tools and methods that prevent further attacks. This work presents a proposal of a RAT detection system, based on behavioral anomaly, whose operation does not need the signature of the malware to be effective. The modeling of the behavior of the connections is done with the machine learning algorithms K-means, which provides the identification of groups of similar connections, which the characteristics of the connections that present close values, and the Random Forest that is used to classify the flows of connections in normal or in RAT, according to the values extracted of the characteristics of the connections and groups identified in the capture of the traffic. And to be applicable to any computer network scenario, big data tools were used because they were able to support large data flows. The framework used in this application is Apache Spark because it performs memory processing and can be applied as a distributed system, making the implementation scalable and with high execution performance. The development requirements of this project were: maximum execution time of five minutes, low computational cost and accuracy of the model similar or superior to the related works. After the implementation of the project, it was possible to detect new RAT connections, only with the connection characteristics of this class of malware, obtaining 95% accuracy, false negative rate of 9.9% and false positive rate of 4.7%. Detection runtime approached one minute in standalone mode, using 512 MB of DDR3 1333 Mhz RAM and eight Intel (R) Xeon (R) CPU cores E5-2650 v2 2.6 Ghz, applied in one capture of 72 GB that contains several types of applications. |
| Informações adicionais: | Trabalho de Conclusão de Curso (graduação) — Universidade de Brasília, Faculdade de Tecnologia, 2017. |
| Licença: | A concessão da licença deste item refere-se ao termo de autorização impresso assinado pelo autor que autoriza a Biblioteca Digital da Produção Intelectual Discente da Universidade de Brasília (BDM) a disponibilizar o trabalho de conclusão de curso por meio do sítio bdm.unb.br, com as seguintes condições: disponível sob Licença Creative Commons 4.0 International, que permite copiar, distribuir e transmitir o trabalho, desde que seja citado o autor e licenciante. Não permite o uso para fins comerciais nem a adaptação desta. |
| Aparece na Coleção: | Engenharia de Redes de Comunicação
|
Todos os itens na BDM estão protegidos por copyright. Todos os direitos reservados.
