Detección de Amenazas Persistentes Avanzadas mediante la aplicación de cadenas de Markov sobre tráfico de red
View/ Open
QRCode
Share this
Date
2019Author
Advisor
Publisher
Instituto Tecnológico MetropolitanoCitation
Metadata
Show full item recordPDF Documents
Abstract
Las Amenazas Persistentes Avanzadas, también conocidas como APT por sus siglas en inglés, son un tipo de ataque sofisticado caracterizado por seis fases que van desde la obtención de información básica para el acceso a los sistemas que se desean vulnerar hasta la exfiltración de datos mediante la conexión cifrada a servidores maliciosos. En este trabajo de investigación se abordan este tipo de amenazas con el objetivo de evaluar su comportamiento en una red LAN mediante la aplicación de cadenas de Markov. Para ello, se captura el tráfico de red de un sistema conformado por un conjunto de máquinas virtuales, las cuales fueron infectadas con cepas de virus utilizados en campañas de APT. Se analizaron los patrones de tráfico y se extrajeron las características relacionadas con la actividad maliciosa. Luego de comprobar que el comportamiento del tráfico no depende del pasado, se modeló mediante cadenas de Markov para hallar las matrices de transición de estados que describen su comportamiento. Al analizar los datos, se pueden observar patrones de infección caracterizados principalmente por conexiones a servidores FTP maliciosos, consulta de dominios maliciosos y paquetes TCP de longitud elevada, que sugieren descarga de archivos adicionales y extracción de información de las máquinas infectadas
Abstract
Advanced Persistent Threats, also known as APT, are a sophisticated type of ciber attack characterized by six infection patterns, in which basic information is extracted to gain access to targeted systems, to finally steal data establishing connections to external malicious servers. In this research work these types of threats are addressed in order to evaluate their behavior in a LAN network through the application of Markov chains. To make this possible, network traffic is captured from a simulated system with virtual machines infected with tools used in APT campaigns. The traffic patterns are analyzed to extract the features related with the malicious activity. After verifying that the behavior of the traffic does not depend on the past, it is modeled using Markov chains to find the transition matrix that describe its behavior. The analysis provide accurate information about infection patterns, related with connections to malicious FTP servers, queries to malicious domains and TCP packets of high length, which suggest downloading additional files and extracting information from infected machines