Uma arquitetura para detecção de botnets baseada na análise do tráfego DNS descartado

Abstract

Botnets são uma das principais ameaças na Internet, capazes de auxiliar na realização de atividades maliciosas. Ao infectar um hospedeiro, um bot tenta comunicar-se com o servidor de comando e controle. Neste ponto, bots recentes utilizam Algoritmos de Geração de Domínios para criarem uma lista de nomes de domínio candidatos a servidores de comando e controle. Uma consequência deste comportamtento é o aumento de respostas negativas do protocolo DNS. Esse tráfego, geralmente descartado ou ignorado pelos administradores de rede, pode ser utilizado para modelar o comportamento de uma botnet. Com base no aumento no número de respostas negativas do protocolo DNS e acesso a amostras coletadas em um ambiente controlado, este trabalho apresenta uma arquitetura capaz de gerar modelos de detecção para estes bots. Os experimentos mostraram um nível de acurácia acima de 90% na maioria dos cenários.