Abstract:
En esta investigación se presenta un nuevo método de selección de características para detectar botnets en su etapa de Comando y Control (C&C). Un problema importante es que los investigadores del área han propuesto el uso de un conjunto de características para la detección de botnets en su etapa de C&C con base en su experiencia, sin embargo, no existe un método de selección adecuado que encuentre el mejor conjunto, debido a que el espacio de búsqueda está relacionado con la cantidad de características. A medida que se incrementa la cantidad de características bajo análisis, el espacio de búsqueda también se incrementa, por lo cual un método de búsqueda exhaustiva no resultaría viable. Para resolver este problema, se diseña una propuesta de selección de características de las conexiones de las botnets en su etapa de C&C a partir de un algoritmo genético combinado con el clasificador C4.5 para mejorar la tasa de detección. La propuesta de selección de características es la principal aportación en esta investigación. Un algoritmo genético (GA) se utiliza para seleccionar el conjunto de características que ofrece la mayor tasa de detección. Se utilizó el algoritmo C4.5 de aprendizaje automático, este algoritmo clasifica las conexiones, pertenecientes o no a una botnet. Los datos utilizados en este trabajo fueron extraídos de los repositorios ISOT e ISCX. Se realizaron pruebas para obtener los mejores parámetros en un algoritmo genético y el algoritmo C4.5. También se realizaron experimentos con el fin de obtener el mejor conjunto de características para cada botnet (específica), y para cada tipo de botnet (general). Se obtiene una reducción considerable de características y una tasa de detección más alta que trabajos representativos en el estado del arte.