Attack Traffic Network Analysis of a Brute-Force Attack against a MySQL Server

Abstract

Esta tesis trata de sentar las bases para aplicar métodos basados en datos al análisis del tráfico de ataque de una red de campus. Las redes de comunicación proporcionan la estructura básica para el funcionamiento del mundo moderno, pero no sin enfrentarse a algunos retos. Las ciberamenazas, como los ataques de fuerza bruta, son un vector de ataque habitual para intentar obtener acceso no autorizado a dispositivos y datos. Debido a la singularidad de cada red, tener una visión personalizada de cada una de ellas es clave para prevenir y mitigar eficazmente el impacto de los ataques y las violaciones de datos. La tesis utiliza un entorno de pruebas de desarrollo propio que implementa un ataque automatizado de inicio de fuerza bruta contra un servidor MySQL de forma segura y observable. El banco de pruebas recoge el tráfico del host y de la red central de una red de campus y lo guarda en conjuntos de datos. Mediante el escrutinio de ambas muestras de tráfico mediante un exhaustivo análisis exploratorio de datos a nivel de host y de red, la tesis estudia el comportamiento de un ataque de fuerza bruta en la red. El estudio identifica patrones basados en la tasa de paquetes por minuto y el tamaño de los paquetes en el tráfico de red. El tráfico de ataque se contrasta con el tráfico generado durante el uso normal del servidor MySQL para identificar diferencias y similitudes en el flujo de red. Por último, la tesis automatiza la detección del ataque de fuerza bruta con Modelos de Bloques Estocásticos Ponderados. AwareNet demuestra su capacidad para detectar ataques de robo de credenciales basados en fuerza bruta contra un servidor MySQL dentro del tráfico central de monitorización de la red.

This thesis tries to lay the groundwork for applying data-driven methods to a campus network attack traffic analysis. Communication networks provide the basic structure for the functioning of the modern world, but not without facing some challenges. Cyberthreats, such as brute-force attacks are a common attack vector to try and gain unauthorized access to devices and data. Due to the uniqueness of every network, having tailored insight of every individual network is key to efficiently prevent and mitigate the impact of attacks and data breaches. The thesis uses a self-developed testbed environment that implements an automated brute-force login attack against a MySQL server in a secure and observable manner. The testbed collects the host and central network traffic of a campus network and saves it into datasets. By scrutinizing both traffic samples with a thorough exploratory data analysis at host and network level, the thesis studies the behavior of a brute-force attack in the network. The study identifies patterns based on packet rate and packet size in the network traffic. It contrasts the attack traffic with the traffic generated during the normal usage of the MySQL server to identify differences and similarities in the network flow. Lastly, the thesis automates the detection of the brute-force attack with Weighted Stochastic Block Models. AwareNet demonstrates its ability to detect credential stealing attacks based on brute-forcing against a MySQL server within central network monitoring traffic.