Detecção de botnets baseada na análise de fluxos de rede utilizando estatística inversa.

Botnet é uma rede de computadores infectados, os quais são controlados remotamente por um cibercriminoso, denominado botmaster e que tem como objetivo realizar ataques cibernéticos massivos, como DDoS, SPAM e roubo de informações. Os métodos tradicionais de detecção de botnets, normalmente baseados em assinatura, são incapazes de detectar botnets desconhecidas. A análise baseada em comportamento tem sido promissora para a detecção de tendências atuais de botnets, as quais estão em constante evolução. Este artigo propõe um mecanismo de detecção de botnet baseado na análise do comportamento de fluxo de rede. A técnica utilizada para detecção de botnets foi recentemente desenvolvida e é denominada Energy-based Flow Classifier (EFC). Essa técnica utiliza estatística inversa para detecção de anomalias. Dois conjuntos de dados heterogêneos, CTU-13 e ISOT HTTP foram utilizados para avaliar a eficiência do modelo gerado e os resultados foram comparados com diversos classificadores tradicionais, de uma e de duas classes. Os resultados obtidos mostram que o EFC obteve resultados mais estáveis, independente do domínio, ao contrário dos demais algoritmos testados.