Mirai botnet communication in IoT networks : an in-depth analysis of the IoT23 dataset

Abstract

The rapid proliferation of Internet of Things (IoT) devices has transformed modern life, enabling smart homes, industrial automation, and connected healthcare systems. However, the increasing number of IoT devices also introduces significant security challenges, as these devices are often resource-constrained and lack robust security mechanisms. Among the most prominent threats targeting IoT networks is the Mirai Botnet, which gained worldwide attention for orchestrating large scale Distributed Denial of Service (DDoS) attacks by exploiting default credentials in IoT devices.Detecting Mirai and other IoT targeted botnet at early stage (command and control (C2)) requires a deep understanding of network traffic patterns and the ability to distinguish between benign and malicious behaviour. Traditional signature-based detection methods often fail to detect new or evolving variants of Mirai, making behavioural analysis, deep traffic inspection, and feature-based approaches essential.This study investigates the detection of Mirai malware within IoT environments using Zeek, a powerful network monitoring framework, applied to the IoT23 dataset, a comprehensive collection of IoT network traffic capturing both benign and malicious behaviors. Zeek enables the collection of detailed connection logs (conn.log), from which network features indicative of malicious activity can be extracted. By performing a deep behavioral analysis of these featuresand employing decision tree algorithms, this study aims to identify clear indicators that differentiate between benign and Command and Control (C2) traffic. It is also investigated if it is possible to detect command and control (C2) traffic from features that remain available even when the network traffic is encrypted. The objectives of this research are:1. To conduct a packet level analysis of IoT traffic in the IoT23 dataset to understand Mirai’s behaviour.2. To extract and perform a deep feature analysis from Zeek logs that distinguishes benign traffic from command and control (C2) communications.3. To develop a decision tree that accurately classifies traffic and supports early detection of Mirai infections.By combining deep behavioral traffic analysis with machine learning on the IoT23 dataset, this work contributes a methodology for proactive detection of Mirai infections, even when the communication is encrypted, providing a foundation for securing IoT networks against emerging threats.

Die rasche Verbreitung von Geräten des Internets der Dinge (IoT) hat die Angriffsfläche moderner Netzwerke erheblich vergrößert. Das Mirai -Botnetz ist ein prominentes Beispiel dafür: Es kompromittiert ressourcenschwache, häufig unzureichend geschützte IoT - Endgeräte und missbraucht sie für großangelegte DDoS -Angriffe, indem es Standard-Zugangsdaten ausnutzt. Eine frühzeitige Erkennung, insbesondere der Aufbau der Command - and - Control-Kommunikation, ist daher entscheidend, um Infektionen zu verhindern und Folgeschäden zu minimieren. Diese Arbeit untersucht die Erkennung von Mirai- Malware in IoT- Netzwerken auf Basis des IoT23-Datensatzes. Hierzu werden paketbasierte Verkehrsdaten sowie abgeleitete Protokoll- und Flow-Merkmale analysiert, um Verhaltensmuster zu identifizieren und zwischen dem normalen IoT-Datenverkehr und C2-Kommunikation zu unterscheiden. Dabei wird insbesondere eine Erkennung mit Merk-malen angestrebt, die auch zur Verfügung stehen, wenn der Datenverkehr verschlüsselt ist. Die Ziele der Arbeit sind:1. Durchführung einer paketweisen Analyse von IoT - Traffic im IoT23-Datensatz zur Charakterisierung des Mirai-Verhaltens.2. Extraktion und detaillierte Merkmalsanalyse aus Packet- und Flowdaten zur klaren Abgrenzung von benignem Traffic gegenüber C2-Kommunikation.3. Entwicklung eines Entscheidungsbaums, der den Verkehr zuverlässig klassifiziert und eine frühzeitige Erkennung von Mirai-Infektionen unterstützt.Durch die Kombination einer fundierten, verhaltensbasierten Verkehrsanalyse mit Methodendes maschinellen Lernens liefert die Arbeit einen Ansatz für die frühzeitige Erkennung von IoT-Botnetzen und legt damit die Grundlage, um IoT-Netze gegenüber aufkommenden Bedrohungen widerstandsfähiger zu machen.