شناسايي بات‌نت‌ها در حملات سايبري با استفاده از الگوريتم انتخاب منفي به كمك سيستم فازي

Identify Botnets In Cyber Attacks using a Negative Selection Algorithm Using Fuzzy System

بات‌نت‌ها يكي از خطرناك‌ترين تهديدات براي زيرساخت شبكه جهاني اينترنت محسوب مي‌شوند. غالبا بات‌نت‌ها براي فعاليت‌هاي بدخواهانه‌اي همچون انجام حملات پراكنده مسدودسازي سرويس، ارسال هرزنامه‌‌هاي خطرناك و نشت اطلاعات شخصي مورد استفاده قرار مي‌گيرند. بات‌نت‌ها از راه‌هاي متعددي به قربانيان خود حمله مي‌كنند. به‌عنوان مثال استفاده از ضعف‌هاي امنيتي سرويس‌هاي ايجاد شده، استفاده از ضعف‌هاي امنيتي نرم‌افزارهاي تحت وب، استفاده از ضميمه‌هاي آلوده ارسال شده، استفاده از ضعف‌‌هاي امنيتي نرم‌افزارهايي كه به اصطلاح سمت كلاينت خوانده مي‌شوند، استفاده از اعتماد موجود در شبكه‌‌هاي داخلي بر روي پروتكل‌ها و استفاده از روش حدس كلمات عبور ضعيف پروتكل‌هايي مانند SSH ,Telnet و ... از جمله راه‌هاي حمله بات به‌شمار مي‌آيند.ﺑﺮاي ﺗﺸــﺨﯿﺺ ﺑﺎتﻧﺖﻫﺎ ﺗﺎﮐﻨﻮن از روش ﻫﺎي ﻣﺘﻌﺪدي ﻫﻤﭽﻮن ﻫﺎﻧﯽﭘﺎتﻫﺎ، ﺳــﯿﺴــﺘﻢﻫﺎي ﺗﺸﺨﯿﺺ ﻧﻔﻮذ ﻣﺒﺘﻨﯽ ﺑﺮ اﻟﮕﻮ و ﻧﺎﻫﻨﺠﺎري، ﺳﯿﺴﺘﻢ ﺗﺸﺨﯿﺺ ﻧﻔﻮذ ﻣﺒﺘﻨﯽ ﺑﺮ ﺷﺒﮑﻪ ﺑﺼﻮرت ﻧﻈﺎرت ﻓﻌﺎل، ﻧﻈﺎرت ﻏﯿﺮﻓﻌﺎل و روشﻫﺎي ﺑﯿﻮﻟﻮژﯾﮑﯽ اﺳــﺘﻔﺎده ﺷــﺪه اﺳــﺖ. اﮐﺜﺮ روشﻫﺎي ﻣﻮﺟﻮد ﺗﺸـــﺨﯿﺺ ﺑﺎتﻧﺖﻫﺎ ﯾﺎ ﻗﺎدر ﺑﻪ ﺗﺸـــﺨﯿﺺ ﺑﺎتﻫﺎ در ﻣﺮاﺣﻞ آﻏﺎزﯾﻦ از ﭼﺮﺧﻪ ﺣﯿﺎتآنﻫﺎ ﻧﯿﺴﺘﻨﺪ و ﯾﺎ ﺑﻪ ﯾﮏ ﭘﺮوﺗﮑﻞ ﻓﺮﻣﺎن و ﮐﻨﺘﺮل ﺧﺎص واﺑﺴﺘﻪاﻧﺪ.در اﯾﻦ ﭘﮋوﻫﺶ ﺑﺮاي ﺑﻬﺒﻮد ﺳﯿﺴﺘﻢ ﺗﺸﺨﯿﺺ و ﮐﺎﻫﺶ ﻧﺮخ ﻫﺸ ﺪار ﻏﻠﻂ ﺑﺎت ﻧﺖ از اﻟﮕﻮرﯾﺘﻢ اﻧﺘﺨﺎب ﻣﻨﻔﯽ ﺑﻪ ﮐﻤﮏ ﺳﯿ ﺴﺘﻢ ﻓﺎزي اﺳﺘﻔﺎده ﺷﺪ. در اﯾﻦ راﺳﺘﺎ از ﺧﻮ ﺷﻪ ﺑﻨﺪي ﻣﺨﻠﻮط ﮔﺎوﺳــﯽ )GMM( ﺑﺮاي ﻃﺒﻘﻪ ﺑﻨﺪي و اﻟﮕﻮرﯾﺘﻢ ﺗﺮاﮐﻢ و اﻧﺘﺨﺎب ﻧﻤﻮﻧﻪ ﺗﺮاﮐﻢ و ﻋﻀــﻮﯾﺖ-ﻣﺤﻮر )DMB( ﺑﺮاي ﮐﺎﻫﺶ ﻧﻤﻮﻧﻪ در ﺳــﯿﺴــﺘﻢ ﺗﺸــﺨﯿﺺ ﺑﺎتﻧﺖ ﺑﻪﮐﺎر ﮔﺮﻓﺘﻪ ﺷــﺪ. ﻧﺘﺎﯾﺞ ﭘﮋوﻫﺶ ﻧﺸــﺎن دادﻧﺪ ﮐﻪ روش ﺧﻮﺷــﻪ ﺑﻨﺪي ﮔﺎوﺳــﯽ ﻧﺴــﺒﺖ ﺑﻪ روش ﻫﺎي ﻃﺒﻘﻪ ﺑﻨﺪي ﻣﯿﺎﻧﮕﯿﻦ K ﻋﻤﻠﮑﺮد ﺑﻬﺘﺮي دا ﺷﺘﻪ ا ﺳﺖ. ﻫﻤﭽﻨﯿﻦ روش DMB در ﻣﻘﺎﯾ ﺴﻪ ﺑﺎ روش ﻫﺎي NCB و BB در اﻧﺘﺨﺎب ﻧﻤﻮﻧﻪ ي ورودي ﻧﺘﺎﯾﺞ ﺑﻬﺘﺮي را ﺛﺒﺖ ﻧﻤﻮد. واژﮔﺎن ﮐﻠﯿﺪي: اﻟﮕﻮرﯾﺘﻢ اﻧﺘﺨﺎب ﻣﻨﻔﯽ، ﺑﺎتﻧﺖ، ﺣﻤﻼت ﺳﺎﯾﺒﺮي، ﺳﯿﺴﺘﻢ ﻓﺎزي، ﺷﻨﺎﺳﺎﯾﯽ. براي تشخيص بات‌نت‌ها تاكنون از روش هاي متعددي همچون هاني‌پات‌ها، سيستم‌‌هاي تشخيص نفوذ مبتني بر الگو و ناهنجاري، سيستم تشخيص نفوذ مبتني بر شبكه بصورت نظارت فعال، نظارت غيرفعال و روش‌هاي بيولوژيكي استفاده شده است. اكثر روش‌هاي موجود تشخيص بات‌نت‌ها يا قادر به تشخيص بات‌ها در مراحل آغازين از چرخه حيات آن‌ها نيستند و يا به يك پروتكل فرمان و كنترل خاص وابسته‌اند. در اين پژوهش براي بهبود سيستم تشخيص و كاهش نرخ هشدار غلط بات نت از الگوريتم انتخاب منفي به كمك سيستم فازي استفاده شد. در اين راستا از خوشه بندي مخلوط گاوسي (GMM) براي طبقه بندي و الگوريتم تراكم و انتخاب نمونه تراكم و عضويت-محور (DMB) براي كاهش نمونه در سيستم تشخيص بات‌نت به‌كار گرفته شد. نتايج پژوهش نشان دادند كه روش خوشه بندي گاوسي نسبت به روش هاي طبقه بندي ميانگين K عملكرد بهتري داشته است. همچنين روش DMB در مقايسه با روش هاي NCB و BB در انتخاب نمونه ي ورودي نتايج بهتري را ثبت نمود.

Botnets have become one of the biggest threats to the World Wide Web infrastructure security today. Botnets are often used for accomplish various malicious activities such as sporadic service blocking attacks, sending dangerous spam, and leaking personal information. botnet attacks can come in various different forms. For example, using the security vulnerabilities of the created services, using the security vulnerabilities of web-based software, using the infected attachments, using the security vulnerabilities of the so-called client-side software, using trust-based protocols of the internal networks and using the weak security Protocols such as SSH, Telnet, etc. are among the ways bot’s attack. Up to now, several methods have been used to detect botnets such as honeypots, pattern-based intrusion detection systems and anomalies, network-based intrusion detection system as active monitoring (Bot probe), passive monitoring and biological methods. Most existing methods of detecting botnets are either unable to detect bots in the early stages of their life cycle or depend on a specific command and control protocol. In this study, the negative selection algorithm using fuzzy system was used to improve the detection system and reduce the botnet false alarm rate. In this regard, Gaussian mixture model GMM was used for classification and density and membership-based sample selection method (DMB) used to decrease the input sample to the botnet detection system. The results showed that the Gaussian mixture model performed better than the Kmeans classification methods. The DMB method also recorded better results in selecting the input sample compared to the NCB and BB methods.