Publicación: Detección de Amenazas Persistentes Avanzadas mediante la aplicación de cadenas de Markov sobre tráfico de red
Portada
Citas bibliográficas
Código QR
Autores
Director
Autor corporativo
Recolector de datos
Otros/Desconocido
Director audiovisual
Editor
Fecha
Citación
Título de serie/ reporte/ volumen/ colección
Es Parte de
Resumen en español
Las Amenazas Persistentes Avanzadas, también conocidas como APT por sus siglas en inglés, son un tipo de ataque sofisticado caracterizado por seis fases que van desde la obtención de información básica para el acceso a los sistemas que se desean vulnerar hasta la exfiltración de datos mediante la conexión cifrada a servidores maliciosos. En este trabajo de investigación se abordan este tipo de amenazas con el objetivo de evaluar su comportamiento en una red LAN mediante la aplicación de cadenas de Markov. Para ello, se captura el tráfico de red de un sistema conformado por un conjunto de máquinas virtuales, las cuales fueron infectadas con cepas de virus utilizados en campañas de APT. Se analizaron los patrones de tráfico y se extrajeron las características relacionadas con la actividad maliciosa. Luego de comprobar que el comportamiento del tráfico no depende del pasado, se modeló mediante cadenas de Markov para hallar las matrices de transición de estados que describen su comportamiento. Al analizar los datos, se pueden observar patrones de infección caracterizados principalmente por conexiones a servidores FTP maliciosos, consulta de dominios maliciosos y paquetes TCP de longitud elevada, que sugieren descarga de archivos adicionales y extracción de información de las máquinas infectadas