BotDet: a system for real time Botnet command and control traffic detection

Ghafir, Ibrahim, Prenosil, V., Hammoudeh, M., Baker, T., Jabbar, S., Khalid, S., Jaf, S.

24 January 2020

Yes / Over the past decade, the digitization of services transformed the healthcare sector leading to a sharp rise in cybersecurity threats. Poor cybersecurity in the healthcare sector, coupled with high value of patient records attracted the attention of hackers. Sophisticated advanced persistent threats and malware have significantly contributed to increasing risks to the health sector. Many recent attacks are attributed to the spread of malicious software, e.g., ransomware or bot malware. Machines infected with bot malware can be used as tools for remote attack or even cryptomining. This paper presents a novel approach, called BotDet, for botnet Command and Control (C&C) traffic detection to defend against malware attacks in critical ultrastructure systems. There are two stages in the development of the proposed system: 1) we have developed four detection modules to detect different possible techniques used in botnet C&C communications and 2) we have designed a correlation framework to reduce the rate of false alarms raised by individual detection modules. Evaluation results show that BotDet balances the true positive rate and the false positive rate with 82.3% and 13.6%, respectively. Furthermore, it proves BotDet capability of real time detection.

Critical infrastructure security

Healthcare cyber attacks

Malware

Botnet

Command and control server

Intrusion detection system

Alert correlation

Arquitectura de interoperabilidad para mejorar la gestión y coordinación de múltiples UXV y la toma de decisiones

García García, Alberto

17 May 2024

[ES] Esta tesis se ha desarrollado dentro del marco de la interoperabilidad de seguridad, enfocándose en la colaboración de los proyectos CAMELOT y PREVISION, financiados por la Comisión Europea dentro del programa Horizonte 2020. Estos proyectos se han ejecutado en el grupo de investigación de Sistemas y Aplicaciones de Tiempo Real Distribuido (SATRD) del Departamento de Comunicaciones de la Universidad Politécnica de Valencia (UPV). La libre circulación de personas y mercancías en la Unión Europea (UE) y la eliminación progresiva de los controles fronterizos, en virtud del acuerdo de Schengen, han presentado desafíos significativos en la seguridad de las fronteras exteriores europeas. Incidentes recientes, incluyendo oleadas de inmigración ilegal, la crisis de refugiados y ataques terroristas, han intensificado la necesidad de un control y vigilancia eficaces. Esta tesis propone una arquitectura de interoperabilidad genérica, diseñada para integrar sistemas existentes y permitir el intercambio de datos a través de una plataforma unificada. Se ha prestado especial atención a la utilización de adaptadores para la conversión de datos entre los sistemas originales y la plataforma adoptada. Posteriormente, la implementación de la arquitectura se ha validado en dos contextos distintos: el proyecto CAMELOT, centrado en la mejora de la gestión y control de las fronteras, y el proyecto PREVISION, enfocado en crear un entorno de respuesta rápida para la detección de amenazas como actos terroristas. Ambos proyectos se han validado mediante simulaciones en entornos reales, evaluando situaciones como el contrabando ilegal y la detección de tráfico con inmigrantes ilegales en CAMELOT, y el seguimiento de actividades terroristas en PREVISION. Las demostraciones han mostrado mejoras significativas gracias a las arquitecturas desarrolladas, recibiendo una valoración excelente y destacando su potencial para futuras implementaciones en diversos ámbitos. / [CA] Aquesta tesi s'ha desenvolupat dins del marc de la interoperabilitat de seguretat, centrant-se en la col·laboració dels projectes CAMELOT i PREVISION, finançats per la Comissió Europea dins del programa Horitzó 2020. Aquests projectes s'han dut a terme en el grup de recerca de Sistemes i Aplicacions de Temps Real Distribuït (SATRD) del Departament de Comunicacions de la Universitat Politècnica de València (UPV). La lliure circulació de persones i mercaderies a la Unió Europea (UE) i l'eliminació progressiva dels controls fronterers, en virtut de l'acord de Schengen, han presentat desafiaments significatius en la seguretat de les fronteres exteriors europees. Incidents recents, incloent onades d'immigració il·legal, la crisi de refugiats i atacs terroristes, han intensificat la necessitat d'un control i vigilància eficaços. Aquesta tesi proposa una arquitectura d'interoperabilitat genèrica, dissenyada per integrar sistemes existents i permetre l'intercanvi de dades a través d'una plataforma unificada. S'ha prestat especial atenció a la utilització d'adaptadors per a la conversió de dades entre els sistemes originals i la plataforma adoptada. Posteriorment, la implementació de l'arquitectura s'ha validat en dos contextos diferents: el projecte CAMELOT, centrat en la millora de la gestió i control de les fronteres, i el projecte PREVISION, enfocat en crear un entorn de resposta ràpida per a la detecció d'amenaces com actes terroristes. Ambdós projectes s'han validat mitjançant simulacions en entorns reals, avaluant situacions com el contraban il·legal i la detecció de tràfic amb immigrants il·legals en CAMELOT, i el seguiment d'activitats terroristes en PREVISION. Les demostracions han mostrat millores significatives gràcies a les arquitectures desenvolupades, rebent una valoració excel·lent i destacant el seu potencial per a futures implementacions en diversos àmbits. / [EN] This thesis has been developed within the framework of security interoperability, focusing on the collaboration of the CAMELOT and PREVISION projects, funded by the European Commission under the Horizon 2020 program. These projects have been carried out in the research group of Distributed Real-Time Systems and Applications (SATRD) of the Communications Department at the Polytechnic University of Valencia (UPV). The free movement of people and goods in the European Union (EU) and the gradual elimination of border controls, under the Schengen agreement, have presented significant challenges in the security of Europe's external borders. Recent incidents, including waves of illegal immigration, the refugee crisis, and terrorist attacks, have intensified the need for effective control and surveillance. This thesis proposes a generic interoperability architecture, designed to integrate existing systems and enable data exchange through a unified platform. Special attention has been given to the use of adapters for the conversion of data between the original systems and the adopted platform. Subsequently, the implementation of the architecture has been validated in two different contexts: the CAMELOT project, focused on improving border management and control, and the PREVISION project, aimed at creating a rapid response environment for the detection of threats such as terrorist acts. Both projects have been validated through simulations in real environments, evaluating situations such as illegal smuggling and detection of trafficking with illegal immigrants in CAMELOT, and monitoring of terrorist activities in PREVISION. The demonstrations have shown significant improvements thanks to the developed architectures, receiving excellent evaluations and highlighting their potential for future implementations in various fields. / Esta tesis se ha desarrollado dentro del marco de la interoperabilidad de seguridad, enfocándose en la colaboración de los proyectos CAMELOT y PREVISION, financiados por la Comisión Europea dentro del programa Horizonte 2020. Estos proyectos se han ejecutado en el grupo de investigación de Sistemas y Aplicaciones de Tiempo Real Distribuido (SATRD) del Departamento de Comunicaciones de la Universidad Politécnica de Valencia (UPV) / García García, A. (2024). Arquitectura de interoperabilidad para mejorar la gestión y coordinación de múltiples UXV y la toma de decisiones [Tesis doctoral]. Universitat Politècnica de València. https://doi.org/10.4995/Thesis/10251/204409

C2 systems

Surveillance

Prevention and control

Interoperability

Command and Control Server (C2)

Mando y control

Vigilancia

Prevención y control

Big Data

Interoperatibilidad

Sistemas C2

Servidor de mando y control

INGENIERÍA TELEMÁTICA