Generación sintética de tráfico de red con Deep Learning: La botnet Neris como caso de estudio

Abstract

Sin duda vivimos en un entorno cambiante e interconectado donde personas y cosas intercambian información heterogénea y de forma continua. Si bien este escenario anima a la aparición de nuevos servicios y aplicaciones, desde el punto de vista de la seguridad el panorama no es tan bueno. Para la protección frente amenazas y ataques de seguridad son los sistemas de detección de intrusiones los que hoy en día se utilizan y han sido utilizados ampliamente, especialmente los sistemas de detección de intrusiones en red. Usualmente, estos sistemas de apoyan en el uso de conjuntos de datos predefinidos para su entrenamiento y evaluación pero no todos los conjuntos de datos son adecuados para ello y utilizar uno un otro tiene un impacto notable sobre el rendimiento y robustez de estos sistemas. En este trabajo se propone una metodología basada en la utilización de un VAE (Variational Autoencoder) para la generación de flujos de red sintéticos que determine roles de los nodos implicados así como la relación entre ellos en forma de topología de red para diferentes ataques en redes de comunicaciones. En concreto, en el presente trabajo, se caracterizarán una serie de ataques del conjunto de datos de red UGR’16 para luego centrarse en la replicación de la topología de red de uno en concreto: la botnet Neris.

Nowadays, we are living in a highly dynamic scenario, where people and things are continuously communicating and sharing heterogeneous information. This context encourages the development of new applications and services. However, from the point of view of security, it is a very concerning environment. To protect networks and systems against new security threats and attacks intrusion detection systems has been and still being used in general and the network intrusion detection systems in particular. Such systems rely on the use of pre-defined dataset most of them useless due to their characteristics like freshness, duration, representation, etc. Using useless network datasets reduces the performance of the detection systems making them also useless to be deployed in a real production environment. For that, in this work, we propose a Deep Learning based methodology for data augmentation where we will mimic realistics attack topologies as part of the generation of traffic network samples. Actually, our solution relies on the use of a VAE (Variational Autoencoder) which has been used in Literature in other contexts like the image generation problem. Concretely, we focus on the replication of the Neris botnet attack included in the well known dataset UGR’16.