تشخيص بات ‌نت‌‌ها با كانال‌هاي فرمان و كنترل پنهان زماني

Detecting Botnets with Timing-Based Covert Command and Control Channels

امروزه بات ‌نت‌ها به عنوان يك ناهنجاري در فرآيند تبادل اطلاعات و آسيب‌رساندن به منابع شبكه تبديل شده‌اند. روش‌هاي تشخيص آن‌ها همواره با چالش‌هايي روبرو بوده است و به عنوان يك موضوع تحقيق مورد بررسي و به‌روز شدن قرار گرفته است. اصلي‌ترين جزء يك بات‌نت، كانال فرمان و كنترل آن است و مديربات توسط اين كانال، فرمان‌هاي خود را براي اجرا روي سيستم قرباني ارسال مي‌كند. در صورت تشخيص كانال فرمان و كنترل يك بات‌نت، عملا ارتباط با مدير بات برقرار نشده و دستورات مديربات اجرا نمي‌شوند. به همين دليل مدير بات با استفاده از انواع روش‌هاي فرار سعي مي‌كند احتمال كشف كانال را پايين نگه دارد. كانال پنهان فرمان و كنترل مفهومي است كه بات‌نت‌هاي نسل جديد براي مخفي‌سازي ارتباط خود به‌كار مي‌برند. در اين مقاله يك مدل انتزاعي از بات‌نت پيشنهاد شده است كه در آن فرمان‌هاي مدير بات، مبتني بر تاخير زماني بين بسته‌هاي و توالي آن‌ها ارسال مي‌شوند. اين فرمان‌ها از طريق كانال‌ فرمان و كنترل پنهان زماني ارسال مي‌شوند. در ادامه با استفاده از مفهوم فعاليت گروهي بات‌‌ها؛ روشي براي تشخيص اين بات‌نت پيشنهاد شده است. معماري روش تشخيص، از سه لايه جمع‌آوري و پردازش ترافيك، پردازش الگوها و تشخيص دومرحله‌اي تشكيل شده است. با استفاده از روش تشخيص دو مرحله‌اي كه شامل ماتريس شباهت و آنتروپي است، ميزبان‌هاي آلوده به بات تشخيص داده مي‌شوند. براي ارزيابي روش، پنج كانال زماني معتبر شبيه‌سازي شده و هر كدام براي ارسال فرمان‌‌هاي مديربات مورد استفاده قرار مي‌گيرند. نتايج آزمايش‌ها، كارايي روش تشخيص با وجود حداقل دو بات در شبكه را نشان مي‌دهد.

Nowadays, botnets have become an inconsistency in the process of exchanging information and tampering network resources. Botnet detection methods have always faced challenges and have been investigated and promoted as subjects of research. The main characteristics of botnets is the command and control (C&C) channel through which a botmaster sends malicious commands to the victim's system. By detecting the C&C channel of a botnet, the botnet is not essentially able to communicate with the botmaster and loses its efficiency. For this reason, botmasters try to evade detection by using a variety of methods. Covert command and control channel is a concept that the new generation of botnets use to hide their communications. In this paper, a Botnet is proposed, in which botmaster’s commands are sent by using Inter Packet Delays (IPDs) and their sequences. The commands are sent via a timing-based covert command and control channel. In the following, a detection method is proposed by applying the concept of group activity of bots. A three-layer architecture is proposed which consists of traffic data collection and processing, pattern processing, and two-step detection methods. Using the two-step detection method including similarity matrix and entropy, hosts infected with the bot are detected. To evaluate the method, five covert timing channels are simulated and each of them is used to send botmaster commands. The results of the experiments showed the effectiveness of the detection method with the minimum number of two bots in the network.