SDN-inspired, real-time botnet detection and flow-blocking at ISP and enterprise-level

“…Mais adiante, nas proximidades da vítima, apesar do tráfego de ataque ser mais proeminente para detecção [Kim et al 2006, Hoque et al 2015], ele pode já ter saturado recursos in-path. A alternativa é implantar medidas defensivas em Provedores de Serviços de Internet (ISPs), que gerenciam a comunicação [Haq et al 2015, Kang et al 2016. Os ISPs se beneficiam de uma visão privilegiada do tráfego e contam com links de alta taxa de transferência, permitindo que eles descubram e impeçam as ameaças em tempo hábil.…”

Segurança Cibernética 2030: Experiências, Desafios e Oportunidades

“…Mais adiante, nas proximidades da vítima, apesar do tráfego de ataque ser mais proeminente para detecção [Kim et al 2006, Hoque et al 2015], ele pode já ter saturado recursos in-path. A alternativa é implantar medidas defensivas em Provedores de Serviços de Internet (ISPs), que gerenciam a comunicação [Haq et al 2015, Kang et al 2016. Os ISPs se beneficiam de uma visão privilegiada do tráfego e contam com links de alta taxa de transferência, permitindo que eles descubram e impeçam as ameaças em tempo hábil.…”

Segurança Cibernética 2030: Experiências, Desafios e Oportunidades

“…Mais adiante, nas proximidades da vítima, apesar do tráfego de ataque ser mais proeminente para detecção [Kim et al 2006, Hoque et al 2015], ele pode já ter saturado recursos in-path. A alternativa é implantar medidas defensivas em Provedores de Serviços de Internet (ISPs), que gerenciam a comunicação [Haq et al 2015, Kang et al 2016. Os ISPs se beneficiam de uma visão privilegiada do tráfego e contam com links de alta taxa de transferência, permitindo que eles descubram e impeçam as ameaças em tempo hábil.…”

“…O sistema de detecção de DDoS é composto por um único switch programável que executa de forma independente a análise estatística em banda para detectar ataques DDoS. Como esses ataques são caracterizados por uma grande quantidade de hosts convergindo o tráfego para uma ou poucas vítimas [Haq et al 2015], as distribuições de endereços IP de origem e destino tendem a se desviar de seu padrão normal na presença de tráfego malicioso. A entropia de Shannon [Shannon 1948] é frequentemente utilizada como forma de identificar esse desvio, apresentando alta precisão para este objetivo [Lakhina et al 2005, Bhuyan et al 2015.…”

Protegendo Redes de Computadores na era do Plano de Dados Programáveis

“…In the first category of research, the idea of a bot "lifecycle", first proposed in [8], has been used to identify botnet infections, by monitoring for the various behavioural stages that a botnet infection exhibits; infections are declared if multiple such stages are observed on a host in a particular sequence [16]- [18]. An example of this approach is found in BotHunter [17], where a host is classified as infected if it engages in communication sessions belonging to multiple "lifecycle" stages, such as malware downloading, C&C communication, and performing attacks.…”

All Infections are Not Created Equal: Time-Sensitive Prediction of Malware Generated Network Attacks