تشخیص بات نت به وسیله تحلیل فعالیت های گروهی و پاسخ های ناموفق ترافیک شبکه

نوع مقاله : مقاله پژوهشی

نویسندگان

1 دانشجوی کارشناسی ارشد، دانشگاه پیام نور

2 استادیار، گروه مهندسی کامپیوتر و فناوری اطلاعات، دانشگاه پیام نور

چکیده

یکی از تهدیدات روزافزون در اینترنت و شبکه‌های کامپیوتری بات نت­ها هستند. بات نت، شبکه‌ای از کامپیوترهای آلوده متصل به اینترنت است که تحت کنترل سرور فرماندهی و کنترل قرار می‌گیرد و برای حملات اینترنتی همچون حملات ممانعت از سرویس و فرستادن هرزنامه، مورد استفاده قرار می‌گیرد. بات نت با شناسایی دستگاه‌های آسیب‌پذیر موجود در شبکه و به مصالحه درآوردن آن‌ها، حیطه‌ تحت کنترل خود را گسترش می‌دهد. بات­ نت‌ها به‌سرعت در حال پیشرفت هستند و از فنّاوری‌های جدید همچون DNS و تغییرات پی‌درپی سریع، برای به دام انداختن کاربران و افزایش حفاظت از کامپیوترهای آلوده خود بهره می‌برند. یکی از انواع تغییرات پی‌درپی سریع، استفاده از الگوریتم تولید نام دامنه است. مهاجمین با استفاده از این روش از قرار گرفتن نام دامنه سرویس­دهنده­های فرماندهی و کنترل خود در فهرست­های سیاه جلوگیری می­نمایند. بسیاری از روش‌های تشخیص بات­نت، مبتنی بر تحلیل فعالیت گروهی بات­نت­ها هستند، اما استفاده از این روش به‌تنهایی، در شبکه‌های کوچک و متوسط کارایی مناسبی ندارد. هدف ما در این مقاله ارائه روشی جامع و کامل برای تشخیص بات­نت­هایی است که از تغییرات پی­درپی نام دامنه در ترافیک استفاده می­کنند و به‌صورت الگوریتمی تولید می‌شوند. روش ما قابلیت تشخیص بات‌نت­های شناخته‌شده و همچنین ناشناخته­ای که از این روش استفاده می‌کنند را دارا هست. در این روش، تشخیص بات­نت­ها بر اساس پاسخ‌های ناموفق یا NXDomain در هر میزبان صورت می­گیرد. این ویژگی باعث می­شود که دقت تشخیص در   شبکه­های کوچک و متوسط افزایش یابد. این روش در شبکه‌های آلوده به بات­نت­های کانفیکر و کراکن آزمایش و اطلاعات به‌دست‌آمده از آن مورد تجزیه‌ و تحلیل قرارگرفته است.

کلیدواژه‌ها

عنوان مقاله [English]

Botnets Detection by Analyzing Network Traffic Group Activities and Unsuccessful Responses

چکیده [English]

Botnets are one of the growing threats on the Internet and computer networks. Botnet is a network
of infected computers connected to the Internet, which is controlled by a control server, and used
for Internet attacks such as denial of service attacks, and spams. Botnets expand the their territory
by identifying vulnerable devices on the network and get them to compromise. They are
progressing rapidly and use new technologies such as DNS and quick continuous changes, to trap
their users and enhance the protection of infected computers. One of the quick continuous changes
is using a domain name generation algorithm. By using this method attackers prevent, control
server domain names to be in black lists. Many Botnet detection methods are based on an analysis
of group activity, but using this method alone does not have sufficient performance in small and
medium networks. The aim of this paper is to provide a comprehensive and complete method to
detect Botnets that use quick domain name changes algorithmivckly. Our method is capable of
detecting Botnets that work in this way. In this method Botnets are detected based on failed
responses or NXDomain in each host. This feature increase detection accuracy in small and medium
networks. Our method is tested in infected networks with Conficker and Kraken and information
obtained from them has been analyzed.

کلیدواژه‌ها [English]

  • Botnets
  • Spam
  • DNS
  • The Continuous Change
  • Domain Name Generation Algorithm
  • Nxdomain

مراجع

1.     M. Feily, A. Shahrestani, and S. Ramadass, “A Survey of Botnet and Botnet Detection,” in Proceedings of the 2009 Third International Conference on Emerging Security Information, Systems and Technologies, 2009, pp. 268–273.##
2.     Q. Lone, G. C. M. Moura, and M. Van Eeten, “Towards Incentivizing ISPs to Mitigate Botnets,” in Monitoring and Securing Virtualized Networks and Services: 8th IFIP WG 6.6 International Conference on Autonomous Infrastructure, Management and Security, AIMS 2014, Brno, Czech Republic, June 30- July 3, 2014. Proceedings, A. Sperotto, G. Doyen, S. Latré, M. Charalambides, and B. Stiller, Eds. Berlin, Heidelberg: Springer Berlin Heidelberg, pp. 57–62, 2014.##
3.     J. Vania, A. Meniya, and H. B. Jethva, “A Review on Botnet and Detection Technique,” vol. 4, no. 1, pp. 23–29, 2013.##
4.     K. Alieyan, A. ALmomani, A. Manasrah and M. M. Kadhum, “A survey of botnet detection based on DNS,” Neural Comput. Appl., pp. 1–18, 2015.##
5.     T. Barabosch, A. Wichmann, F. Leder, and E. Gerhards-Padilla, “Automatic Extraction of Domain Name Generation Algorithms from Current Malware,” NATO Symp. Inf. Assur. Cyber Def., pp. 1–13, 2012.##
6.     L. V. Hong, “DNS Traffic Analysis for Network-based Malware Detection DNS Traffic Analysis for Network-based Malware Detection,” p. 67, 2012.##
7.     M. Antonakakis and R. Perdisci, “From throw-away traffic to bots: detecting the rise of DGA-based malware,” Proc. 21st USENIX Secur. Symp., p. 16, 2012.##
8.     J. Park, “Acquiring Digital Evidence from Botnet Attacks: Procedures and Methods,” Communication, 2011.##
9.     T. S. Wang, C. S. Lin, and H. T. Lin, “DGA Botnet Detection Utilizing Social Network Analysis,” in 2016 International Symposium on Computer, Consumer and Control (IS3C), 2016, pp. 333–336.##
10.   D. Piscitello, “Conficker summary and review,” pp. 1–18, 2010.##
11.   M. A. Rajab, J. Zarfoss, F. Monrose, and A. Terzis, “My botnet is bigger than yours (maybe, better than yours): why size estimates remain challenging,” HotBots07 Proc. first Conf. First Work. Hot Top. Underst. Botnets, p. 5, 2007.##
12.   H. Choi and H. Lee, “Identifying botnets by capturing group activities in DNS traffic,” Comput. Networks, vol. 56, no. 1, pp. 20–33, 2012.##
13.   H. Choi, H. Lee, and H. Kim, “BotGAD: detecting botnets by capturing group activities in network traffic,” Proc. Fourth Int. ICST Conf. Commun. Syst. Softw. Middlew., pp. 1–8, 2009.##
14.   A. Ramachandran, N. Feamster, and D. Dagon, “Revealing Botnet Membership Using DNSBL Counter-Intelligence,” 2005.##
15.   G. Gu, R. Perdisci, J. Zhang, and W. Lee, “BotMiner: Clustering Analysis of Network Traffic for Protocol- and Structure-independent Botnet Detection,” in Proceedings of the 17th Conference on Security Symposium, 2008, pp. 139–154.##
16.   G. Gu, P. Porras, V. Yegneswaran, M. Fong, and W. Lee, “BotHunter: Detecting Malware Infection Through IDS-driven Dialog Correlation,” in Proceedings of 16th USENIX Security Symposium on USENIX Security Symposium, 2007, p. 12.##
17.   R. Sharifnya and M. Abadi, “A novel reputation system to detect DGA-based botnets,” in Computer and Knowledge Engineering (ICCKE), 2013 3th International eConference on, 2013, pp. 417–423.##
 

فایل ها

سابقه مقاله

  • تاریخ دریافت: 19 مهر 1395
  • تاریخ بازنگری: 15 دی 1399
  • تاریخ پذیرش: 28 شهریور 1397

هم رسانی

ارجاع به این مقاله

آمار