BotTrack: Tracking Botnets using NetFlow and PageRank | Security Art Work

Entradas

Presentamos tik | Home | Estrategia de Seguridad Nacional 2013. Ciberseguridad.

BotTrack: Tracking Botnets using NetFlow and PageRank

Jos Miguel Holgun , 6 junio 2013 |

English

Pginas
Un blog de S2 Grupo Acerca de Archivo de entradas por mes Aviso Legal Herramientas self-made Los autores Poltica de privacidad Polticas de uso

La semana pasada una compaera me hizo llegar una serie de papers de la Universidad de Luxemburgo. Entre ellos me llam la atencin uno cuyo ttulo era el de esta misma entrada: BotTrack: Tracking Botnets using NetFlow and PageRank . Para el que no lo conozca, Netflow es un protocolo desarrollado por Cisco Systems que permite a routers y switches, principalmente, enviar los flujos de comunicacin de red hacia otro dispositivo que se le conocer como colector y donde se podr hacer un anlisis de la informacin. La investigacin, realizada por Jrme Franois, Shaonan Wang, Radu State, y Thomas Engel, en su documento intenta mostrarnos cmo detectar botnets P2P utilizando NetFlow y una extensin del algoritmo PageRank utilizado por Google.

Encuesta
Al entrar a trabajar a una nueva organizacin... cunto tiempo has tardado en tener acceso a informacin corporativa que podras considerar "sensible"? Menos de una semana Menos de un mes Menos de un ao Llevo ms de un ao y an tengo problemas para que me den acceso...

El documento nos cuenta las arquitecturas habituales de botnets y la evolucin que estn sufriendo hacia arquitecturas distribuidas, para aumentar la escalabilidad principalmente. Para detectar estas nuevas arquitecturas, proponen lo siguiente:

Vote

View Results

Dnde est el lmite de un compromiso de confidencialidad? No existe lmite. Lmites exclusivamente legales. Lmites no slo legales sino tambin ticos.

Tal y como explican, en primer lugar se dispone de un colector netflow (por ejemplo la herramienta ntop con el plugin de netflow) que recoge los flujos de routers, honeypots, etc. Con estos flujos se hace un grafo de relacin entre hosts. Este grafo es analizado por un mdulo que implementa una versin del algoritmo PageRank de Google que segn el autor es un algoritmo apropiado para analizar los enlaces de comunicacin entre los hosts en redes grandes. Como resultado de procesar el grafo con estos algoritmos se obtienen dos valores, el hub rank (Partiendo de los nodos origen trfico hacia los nodos destino) y el authority rank (Partiendo de los nodos destino trfico hacia los orgenes), que tienen en cuenta la direccin del trfico para calcularlos. La puntuacin de cada nodo ser mayor dependiendo de la cantidad de conexiones que tenga con otros nodos y de la calidad de esas conexiones. Por ejemplo, el nodo que es un honeypot distribuir mayor peso a los nodos con los que est relacionado, y se considerar por tanto una conexin importante (mayor peso), ya que la probabilidad de que un nodo relacionado con l forme parte de una botnet es muy alta. Partiendo del hub rank y authority rank de cada nodo el mdulo de cluster agrupar con el objetivo de identificar nodos con un rol similar dentro de la red. El ejemplo que ponen en el documento es el clculo de hub rank y authority rank para el protocolo kademlia, para hosts normales y para bots, de manera que se vea la distribucin de los valores y sea posible comparar. En este caso se ve cmo ha identificado dos clusters de bots principales:

Vote

View Results

http://www.securityartwork.es/2013/06/06/bottrack-tracking-botnets-using-netflow-and-pagerank/[11/06/2013 22:55:04]

BotTrack: Tracking Botnets using NetFlow and PageRank | Security Art Work

Es posible por tanto obtener unos rangos de valores que permitan identificar una botnet utilizando un protocolo p2p segn lo que nos cuentan en este estudio. Os recomiendo su lectura dado que puede aportaros ideas para la explotacin del trfico NetFlow para la deteccin de botnets p2p. (Puedes seguirnos en Twitter: @SecurityArtWork)
Me gusta Me gusta Ya no me gusta Me gusta 5 Twittear 19 Share 5

Suscripciones por e mail!

Introduce tu e-mail:
tu@email.com

Suscribir!

Bsqueda
Buscar

( +6 rating, 6 votes)

Categoras
BAM Ciberseguridad industrial Continuidad de Negocio FastFix General Gestin Google I+D LOPD/RMS/RDLOPD Noticias RFID Seg. Desarrollo Seg. Fsica Seg. Lgica VoIP WiFi

Un comentario a BotTrack: Tracking Botnets using NetFlow and PageRank

(Tenga en cuenta que los comentarios en espaol y en ingls estn mezclados por lo que puede necesitar un traductor online para entender los comentarios de otros usuarios)

Valiosa informacin desde luego. Adems kademlia es un servicio gratuito. A ver si es el principio del fin del destierro de las botnets.
Alejandro [web], 11 de junio de 2013, 6:30 am

Deja un comentario
Alias (obligatorio) e-mail (no ser publicado) (obligatorio) Website

Archivos
junio 2013(7) mayo 2013(22) abril 2013(19) marzo 2013(16) febrero 2013(21) enero 2013(20) diciembre 2012(17) noviembre 2012(19) octubre 2012(16) septiembre 2012(18) agosto 2012(3) julio 2012(17) junio 2012(19) mayo 2012(20) abril 2012(14) marzo 2012(18) febrero 2012(21) enero 2012(18) diciembre 2011(18) noviembre 2011(21) octubre 2011(18) septiembre 2011(15) agosto 2011(7) julio 2011(18) junio 2011(20) mayo 2011(17) abril 2011(11) marzo 2011(21) febrero 2011(21)

Notify me of followup comments via e-mail

Enviar

http://www.securityartwork.es/2013/06/06/bottrack-tracking-botnets-using-netflow-and-pagerank/[11/06/2013 22:55:04]

BotTrack: Tracking Botnets using NetFlow and PageRank | Security Art Work
enero 2011(11) diciembre 2010(13) noviembre 2010(25) octubre 2010(28) septiembre 2010(16) julio 2010(19) junio 2010(14) mayo 2010(16) abril 2010(20) marzo 2010(21) febrero 2010(19) enero 2010(12) diciembre 2009(12) noviembre 2009(16) octubre 2009(18) septiembre 2009(15) julio 2009(11) junio 2009(21) mayo 2009(20) abril 2009(9) marzo 2009(12) febrero 2009(12) enero 2009(12) diciembre 2008(11) noviembre 2008(5) octubre 2008(17) septiembre 2008(12) agosto 2008(2) julio 2008(9) junio 2008(7) mayo 2008(14) abril 2008(7) marzo 2008(10) febrero 2008(16) enero 2008(16) diciembre 2007(6) noviembre 2007(12) octubre 2007(7) septiembre 2007(7) agosto 2007(7) julio 2007(9) junio 2007(9) mayo 2007(20) abril 2007(4)

Autores
Adrin Capdevila (14) Alberto Olmos (12) Alberto Quiles (1) Alberto Rivas Jr. (2) Alberto Rivas Sr. (4) Alberto Segovia (7) Alejandro Lujn (2) Alex Rodriguez (4) Ana Isabel Martnez (3) Andrs Nez (8) Anna Esparcia (6) Antonio Huerta (27) Antonio J. Lpez (6) Antonio Villaln (113) Aurora Villegas (4) scar Navarro (13) Borja Merino (13) Carlos Garca (3) Colaboradores (42) Dami Soler (27) Daniel Badenes (3) Daniel de los Reyes (1) David Cutanda (2) David Lladr (28) David Monteagudo (13) Elena Borso (5) Eusebio Fuster (1) Eva Mara Lpez (1) Fernando Seco (34) Guillem Badenes (1) Guillermo Mir (9) Ivn Garca (10) Ivn Hernndez (1) Javier Vela (9) Joaqun Moreno (54) Joel Sevilleja (8) Jos L. Chica (16) Josemi Holgun (34) Jos Rosell (56) Jos Selvi (17)

http://www.securityartwork.es/2013/06/06/bottrack-tracking-botnets-using-netflow-and-pagerank/[11/06/2013 22:55:04]

BotTrack: Tracking Botnets using NetFlow and PageRank | Security Art Work
Jos Vila (25) Jose L. Villaln (35) Maite Moreno (35) Manuel Benet (186) Manuel Iranzo (5) Mara ngeles Arqueros (5) Marcos Cruz (1) Marcos Snchez (7) Miguel A. Juan (27) Nstor Tarn (1) Nedim abi (5) Nelo Belda (25) Pablo M. (9) Patricia Vanaclocha (5) Pedro Quirs (4) Ral Rodrguez (12) Ral Verd (3) Rafael Alfaro (2) Rafael Pez (24) Roberto Amado (42) Salvador Zamora (8) Samuel Segarra (22) Security ArtWork (1) Sergio Sez (7) Sergio Zamarripa (3) Toni Luque (1) Vicente Dominguez (1) Vicente Garca (2) Yago Gmez-Trenor (1)

Enlaces
Asociaciones
Hack Hispano ISMS Frum

Blogs
Paloma Llaneza Taddong Security Blog Tenable Security Zero Day Dancho Danchev Diablo Horn Ha.ckers.org Marketing Positivo Seguridad y Gestin Apuntes de Seguridad de la Informacion The Invisible Things Vlan7 Chesco Romero Steve Bellovin BITcora Port 666 Hack Players Security Clan House Kriptpolis Pentester Sergio Hernando Bruce Schneier Security by default Veracode Blog

Organismos
Club Francs de Seguridad de Sistemas de Informacin INTECO CSIRT-CV

Publicaciones
RFID Magazine Security Focus

Meta
Acceder Contacto: admin [at] securityartwork.es

http://www.securityartwork.es/2013/06/06/bottrack-tracking-botnets-using-netflow-and-pagerank/[11/06/2013 22:55:04]

BotTrack: Tracking Botnets using NetFlow and PageRank | Security Art Work

Security A(r)tWork Powered by WordPress Entradas (RSS) and Comentarios (RSS).

http://www.securityartwork.es/2013/06/06/bottrack-tracking-botnets-using-netflow-and-pagerank/[11/06/2013 22:55:04]