PeerRush Mining for Unwanted P2P Traffic Babak Rahbarinia a - - PowerPoint PPT Presentation
PeerRush Mining for Unwanted P2P Traffic Babak Rahbarinia a , Roberto Perdisci a,b , Andrea Lanzi c , Kang Li a a University of Georgia b Georgia Tech
N I S
etwork ntelligence ecurity
University of Georgia
Babak ¡Rahbariniaa, ¡Roberto ¡Perdiscia,b, ¡Andrea ¡Lanzic, ¡Kang ¡Lia ¡
aUniversity ¡of ¡Georgia ¡ bGeorgia ¡Tech ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡cEURECOM ¡
N I S
etwork ntelligence ecurity
University of Georgia
– Apps: ¡File ¡Sharing, ¡VoIP, ¡P2P ¡Botnets, ¡… ¡
– Detect ¡malware ¡infecDons ¡related ¡to ¡P2P ¡botnets ¡ – IdenDfy/block ¡some ¡types ¡of ¡P2P ¡traffic ¡
2 ¡
N I S
etwork ntelligence ecurity
University of Georgia
– Port ¡numbers, ¡Sig-‑based, ¡DPI, ¡staDsDcal ¡traffic ¡analysis ¡
– Profiling ¡P2P ¡traffic ¡(Hu ¡et ¡al., ¡Computer ¡Networks’09) ¡ – only ¡applied ¡to ¡non-‑encrypted ¡traffic, ¡very ¡few ¡apps ¡
– BotMiner ¡(Gu ¡et ¡al.), ¡StaDsDcal ¡traffic ¡fingerprints ¡ (Zhang ¡et ¡al.), ¡Traders ¡or ¡PloWers? ¡(Yen ¡et ¡al.), ¡… ¡ – Cannot ¡disDnguish ¡between ¡different ¡P2P ¡botnets ¡
3 ¡
N I S
etwork ntelligence ecurity
University of Georgia
– Generic/flexible ¡traffic ¡categorizaDon ¡approach ¡ – StaDsDcal ¡traffic ¡features ¡ – AgnosDc ¡to ¡payload ¡encrypDon ¡
– “unwanted” ¡depends ¡on ¡network ¡management ¡and ¡ security ¡policies ¡ – Includes ¡malicious ¡traffic, ¡such ¡as ¡P2P ¡botnets ¡ – May ¡include ¡other ¡legit ¡but ¡unwanted ¡apps, ¡such ¡as ¡ file ¡sharing ¡(eMule, ¡BitTorrent, ¡etc.) ¡
4 ¡
N I S
etwork ntelligence ecurity
University of Georgia
1 ¡ 2 ¡
5 ¡
N I S
etwork ntelligence ecurity
University of Georgia
IPx ¡
Dme ¡ W(i) ¡ W(i+1) ¡ W(i+2) ¡ … ¡
[ ¡f1, ¡f2, ¡…, ¡fk ¡] ¡
6 ¡
N I S
etwork ntelligence ecurity
University of Georgia
– # ¡TCP/UDP ¡“connecDons” ¡with ¡no ¡DNS ¡query ¡ – # ¡failed ¡connecDons ¡(peer ¡churn ¡effect) ¡ – Non-‑DNS ¡dst ¡IPs ¡scaWered ¡in ¡many ¡different ¡networks ¡
– e.g., ¡web ¡traffic ¡ – Most ¡non-‑P2P ¡connecDons ¡“start” ¡with ¡DNS ¡query ¡ – Only ¡few ¡failed ¡connecDons ¡ [ ¡f1, ¡f2, ¡…, ¡fk ¡] ¡
7 ¡
N I S
etwork ntelligence ecurity
University of Georgia
– traffic ¡from ¡each ¡P2P ¡host ¡ – P2P ¡management ¡flows ¡
– ApplicaDon ¡profiles ¡modeled ¡by ¡one-‑class ¡classifiers ¡
– P2P ¡traffic ¡profile ¡matches ¡
P2P ¡Hostx ¡
Dme ¡ W(i) ¡ W(i+1) ¡ W(i+2) ¡ … ¡
[ ¡f1, ¡f2, ¡…, ¡fm ¡] ¡
(management ¡flows) ¡
8 ¡
N I S
etwork ntelligence ecurity
University of Georgia
– Use ¡different ¡P2P ¡protocols ¡ – Connect ¡to ¡different ¡network ¡of ¡peers ¡
– P2P ¡traffic ¡overall ¡depends ¡on ¡user ¡acDviDes ¡ – need ¡to ¡find ¡user-‑independent ¡features! ¡ – beWer ¡to ¡focus ¡on ¡P2P ¡control ¡traffic ¡
– separate ¡management ¡flows ¡from ¡data ¡flows ¡ ¡
9 ¡
N I S
etwork ntelligence ecurity
University of Georgia
10 ¡
M ¡ M ¡ >θs ¡ >θs ¡ >θs ¡ >θs ¡ %me ¡
N I S
etwork ntelligence ecurity
University of Georgia
– Find ¡top ¡n ¡BPP ¡and ¡IPD ¡peaks ¡ – Measure ¡peak ¡locaDon ¡and ¡relaDve ¡height ¡
11 ¡
(encrypted) ¡ (encrypted) ¡
N I S
etwork ntelligence ecurity
University of Georgia
12 ¡
[ ¡f1, ¡f2, ¡…, ¡fm ¡] ¡
– Each ¡traffic ¡profile ¡trained ¡using ¡only ¡examples ¡of ¡traffic ¡from ¡target ¡app ¡ – Flexibility: ¡different ¡decision ¡funcDon ¡and ¡threshold ¡per ¡each ¡app ¡
dist1(score1, ¡θ1) ¡ dist2(score2, ¡θ2) ¡ dist3(score3, ¡θ3) ¡ distN(scoreN, ¡θN) ¡ One ¡match ¡ MulDple ¡matches ¡ (need ¡disambiguaDon) ¡ Unknown ¡P2P ¡app ¡
N I S
etwork ntelligence ecurity
University of Georgia
– Several ¡days ¡per ¡app ¡ – Hundreds ¡of ¡GB ¡of ¡traffic ¡
13 ¡
NATed ¡nodes ¡ candidate ¡supernodes ¡ outside ¡node ¡
Automated ¡UI ¡input ¡
N I S
etwork ntelligence ecurity
University of Georgia
– Storm, ¡Waledac, ¡Zeus ¡P2P ¡(encrypted) ¡
– about ¡5 ¡days ¡of ¡CS ¡dept. ¡network ¡ – custom ¡sniffing, ¡anonymizes ¡packets ¡“on ¡the ¡fly” ¡ – pruned ¡all ¡src ¡IPs ¡that ¡are ¡suspected ¡P2P ¡hosts ¡
14 ¡
N I S
etwork ntelligence ecurity
University of Georgia
– Datasets: ¡ordinary ¡P2P ¡traffic ¡+ ¡non-‑P2P ¡traffic ¡ – Classifier: ¡Boosted ¡Decision ¡Trees ¡
15 ¡
N I S
etwork ntelligence ecurity
University of Georgia
– Different ¡“opDmum” ¡classifier ¡configuraDon ¡per ¡app ¡ – Cross-‑validaDon ¡results ¡
16 ¡
N I S
etwork ntelligence ecurity
University of Georgia
17 ¡
80% ¡training ¡ 20% ¡tesDng ¡ Botnets ¡ 80% ¡training ¡ 20% ¡tesDng ¡
N I S
etwork ntelligence ecurity
University of Georgia
detecDon ¡and ¡categorizaDon ¡
– different ¡types ¡of ¡modern ¡P2P ¡botnets ¡ – unwanted ¡“ordinary” ¡P2P ¡apps ¡ – agnosDc ¡to ¡traffic ¡encrypDon ¡
– 5 ¡ordinary ¡P2P ¡apps ¡+ ¡3 ¡modern ¡P2P ¡botnets ¡ – High ¡accuracy ¡of ¡different ¡system ¡components ¡ – Promising ¡results ¡on ¡robustness ¡against ¡traffic ¡noise ¡ ¡ (results ¡in ¡the ¡paper) ¡ ¡
18 ¡
N I S
etwork ntelligence ecurity
University of Georgia
19 ¡
perdisci@cs.uga.edu ¡
N I S
etwork ntelligence ecurity
University of Georgia
20 ¡
80% ¡training ¡ 20% ¡tesDng ¡ Botnets ¡ arDficial ¡noise ¡ 80% ¡training ¡ 20% ¡tesDng ¡ non-‑P2P ¡traffic ¡ mixed ¡to ¡flows ¡ + ¡
N I S
etwork ntelligence ecurity
University of Georgia
– Skype ¡ – μTorrent ¡ – eMule ¡ – Vuze ¡ – Frostwire ¡
– Storm ¡ – Waledac ¡ – Zeus ¡P2P ¡
21 ¡