Skip to main content
فهرست مقالات

تشخیص بات‌نت با استفاده از مدل مخفی مارکوف در وقفه‌های جریان

نویسنده:

علمی-پژوهشی (وزارت علوم)/ISC (18 صفحه - از 177 تا 194)

چکیده:

بات‌نتها یکی از محبوبترین انواع بدافزارها در میان مجرمان اینترنتی هستند، به‌طوریکه اخیراً پایه‌ی اصلی بیشتر جرائم سایبری بوده‌اند. اغلب روش‌های تشخیص بات‌نت موجود نمی‌توانند آنها را به‌صورت بلادرنگ و قبل از مشارکت در یک حمله سایبری، تشخیص دهند. در این مقاله یک سیستم تشخیص بات‌نت مبتنی‌بر مدل مخفی مارکوف ارائه می‌شود. این سیستم قادر به تشخیص بات‌نت در بازه‌های زمانی خیلی کوچک از جریان شبکه بدون نیاز به بررسی کل جریان است. همچنین این روش علاوه‌بر تشخیص بات‌نت در مراحل اولیه از چرخه حیات، مرحله فعالیت آن (کانال فرمان و کنترل یا حمله) را نیز در هر لحظه تعیین می‌کند. بات‌نت BlackEnergy یکی از خطرناک‌ترین انواع بات‌نتهای مبتنی‌بر HTTP است، که در این پژوهش ترافیک شبکه آن مورد تحلیل و بررسی قرار می‌گیرد. ویژگی‌های شاخص و الگوهای رفتاری این بات‌نت در مراحل مختلف چرخه حیاتش استخراج می‌شود. سپس مدل مخفی مارکوف پیشنهادی جهت تشخیص بات‌نت BlackEnergy براساس ویژگی‌ها و الگوهای رفتاری آن ارائه می‌شود. برای ارزیابی مدل ارائه‌شده، از مجموعه داده‌جامع و معتبری از ترافیک شبکه استفاده می‌شود که نشان می‌دهد روش پیشنهادی حتی در پنجره‌های زمانی خیلی کوچک، دقت تشخیص بالایی نسبت به بسیاری از روش‌های دیگر دارد.

Botnets are known to be among the most popular malwares in cyber criminals for their practicality in carrying many cybercrimes as reported in the recent news. While many detection schemes have been developed, botnets remain the most powerful attack platform by constantly and continuously adopting new techniques and strategies. Thus, early identification and timely detection of botnets can take an effective step towards making perfect defense system. Most of existing botnet detection methods cannot detect botnets in real-time and in an early stage of their lifecycle before participating in a cyber-crime. In this work, we propose a novel approach to detect the BlackEnergy botnet traffic using Hidden Markov Model (HMM) within flow Intervals. In BlackEnergy, bots are controlled by attackers under a HTTP base command and control (C&C) infrastructure. First we analysis BlackEnergy’s network traffic and extract its main features and network behavior patterns. Then we adapt the proposed HMM model with BlackEnergy botnet patterns and features. In addition to detecting the botnet communication traffic in both Attack and C&C stages, inferred HMM defines the stage of botnet lifecycle. Our proposed method detects botnet activity in small time intervals without having seen a complete network flow. Using existing datasets, we show experimentally that it is possible to identify the presence of botnets activity with high accuracy even in very small time windows.

کلیدواژه ها:

وقفه زمانی ، مدل مخفی مارکوف ، تشخیص بات‌نت ، جریان شبکه ، مرحله فرمان و کنترل

Botnet detection ، flow interval ، network flow ، command and control stage ، Hidden Markov Model ، time interval


برای مشاهده محتوای مقاله لازم است ورود پایگاه شوید. در صورتی که عضو نیستید از قسمت عضویت اقدام فرمایید.

لمشاهدة محتوی المقال یلزم الدخول إلی دخول الموقع.
إن كنت لا تقدر علی شراء الاشتراك عبرPayPal أو بطاقة VISA، الرجاء ارسال رقم هاتفك المحمول إلی مدير الموقع عبر credit@noormags.ir.

You should become a Sign in to be able to see articles.
If you fail to purchase subscription via PayPal or VISA Card, please send your mobile number to the Website Administrator via credit@noormags.ir.