Key points are not available for this paper at this time.
A detecção e interrupção de botnets tem sido um tema importante de pesquisa nos últimos anos. Uma técnica eficaz para a detecção de botnets é identificar o tráfego de Comando e Controle (C&C), que é enviado de um centro de C&C para hosts infectados (bots) para controlar os bots. Se esse tráfego puder ser detectado, tanto o centro de C&C quanto os bots que ele controla podem ser detectados, e a botnet pode ser interrompida. Propomos uma técnica de correlação temporal baseada em múltiplos arquivos de log para detectar tráfego de C&C. Nossa principal suposição é que os bots respondem muito mais rápido do que os humanos. Ao correlacionar temporalmente dois arquivos de log baseados em hosts, conseguimos detectar essa propriedade e, assim, detectar a atividade de bots em uma máquina host. Em nossos experimentos, aplicamos essa técnica a arquivos de log produzidos por tcpdump e exedump, que registram todos os pacotes de rede de entrada e saída, e os horários de início das execuções de aplicativos na máquina host, respectivamente. Aplicamos mineração de dados para extrair características relevantes desses arquivos de log e detectar tráfego de C&C. Nossos resultados experimentais validam nossa suposição e mostram um desempenho geral melhor quando comparado a outras técnicas publicadas recentemente.
Masud et al. (Quarta,) estudaram essa questão.