مرکز منطقه ای اطلاع رساني علوم و فناوري - تشخيص بات‌نت با استفاده از مدل مخفي ماركوف در وقفه‌هاي جريان

شماره ركورد :

1141287

عنوان مقاله :

تشخيص بات‌نت با استفاده از مدل مخفي ماركوف در وقفه‌هاي جريان

عنوان به زبان ديگر :

BotNet Detection Using Hidden Markov Model within Flow Intervals

پديد آورندگان :

زماني دانالو، ساراالسادات دانشگاه تحصيلات تكميلي علوم پايه زنجان - دانشكده كامپيوتر و فناوري اطلاعات، زنجان، ايران , افشارچي، محسن دانشگاه زنجان - دانشكده مهندسي برق و كامپيوتر، زنجان، ايران , سلوك، وحيد دانشگاه صنعتي اروميه - دانشكده مهندسي كامپيوتر و فناوري اطلاعات، زنجان، ايران

تعداد صفحه :

از صفحه :

177

تا صفحه :

194

كليدواژه :

تشخيص بات‌نت , مدل مخفي ماركوف , وقفه زماني , جريان شبكه , مرحله فرمان و كنترل

چكيده فارسي :

بات‌نتها يكي از محبوبترين انواع بدافزارها در ميان مجرمان اينترنتي هستند، به‌طوريكه اخيراً پايه‌ي اصلي بيشتر جرائم سايبري بوده‌اند. اغلب روش‌هاي تشخيص بات‌نت موجود نمي‌توانند آنها را به‌صورت بلادرنگ و قبل از مشاركت در يك حمله سايبري، تشخيص دهند. در اين مقاله يك سيستم تشخيص بات‌نت مبتني‌بر مدل مخفي ماركوف ارائه مي‌شود. اين سيستم قادر به تشخيص بات‌نت در بازه‌هاي زماني خيلي كوچك از جريان شبكه بدون نياز به بررسي كل جريان است. همچنين اين روش علاوه‌بر تشخيص بات‌نت در مراحل اوليه از چرخه حيات، مرحله فعاليت آن (كانال فرمان و كنترل يا حمله) را نيز در هر لحظه تعيين مي‌كند. بات‌نت BlackEnergy يكي از خطرناك‌ترين انواع بات‌نتهاي مبتني‌بر HTTP است، كه در اين پژوهش ترافيك شبكه آن مورد تحليل و بررسي قرار مي‌گيرد. ويژگي‌هاي شاخص و الگوهاي رفتاري اين بات‌نت در مراحل مختلف چرخه حياتش استخراج مي‌شود. سپس مدل مخفي ماركوف پيشنهادي جهت تشخيص بات‌نت BlackEnergy براساس ويژگي‌ها و الگوهاي رفتاري آن ارائه مي‌شود. براي ارزيابي مدل ارائه‌شده، از مجموعه داده‌جامع و معتبري از ترافيك شبكه استفاده مي‌شود كه نشان مي‌دهد روش پيشنهادي حتي در پنجره‌هاي زماني خيلي كوچك، دقت تشخيص بالايي نسبت به بسياري از روش‌هاي ديگر دارد.

چكيده لاتين :

Botnets are known to be among the most popular malwares in cyber criminals for their practicality in carrying many cyber-crimes as reported in the recent news. While many detection schemes have been developed, botnets remain the most powerful attack platform by constantly and continuously adopting new techniques and strategies. Thus, early identification and timely detection of botnets can take an effective step towards making perfect defense system. Most of existing botnet detection methods cannot detect botnets in real-time and in an early stage of their lifecycle before participating in a cyber-crime. In this work, we propose a novel approach to detect the BlackEnergy botnet traﬃc using Hidden Markov Model (HMM) within flow Intervals. In BlackEnergy, bots are controlled by attackers under a HTTP base command and control (C&C) infrastructure. First we analysis BlackEnergy’s network traffic and extract its main features and network behavior patterns. Then we adapt the proposed HMM model with BlackEnergy botnet patterns and features. In addition to detecting the botnet communication traﬃc in both Attack and C&C stages, inferred HMM defines the stage of botnet lifecycle. Our proposed method detects botnet activity in small time intervals without having seen a complete network flow. Using existing datasets, we show experimentally that it is possible to identify the presence of botnets activity with high accuracy even in very small time windows.

سال انتشار :

1399

عنوان نشريه :

مهندسي برق دانشگاه تبريز

فايل PDF :

8113244

لينک به اين مدرک :

https://search.ricest.ac.ir/dl/search/defaultta.aspx?DTC=8&DC=1141287