تشخيص شبكه بات با رويكرد تحليل رفتاري جريان شبكه و بهره گيري از الگوريتم هاي داده كاوي

Botnet Detection with Flow Behavior Analysis Approach

«شبكه بات» شبكه اي از رايانه هاي آلوده متصل به اينترنت است كه تحت مديريت سرور فرماندهي و كنترل قرار دارد و براي حملات انكار سرويس، فرستادن هرزنامه و عمليات مخرب ديگر مورداستفاده قرار مي گيرد. باوجود ويژگي هاي خاص هر شبكه بات، بات ها در داخل شبكه رفتارهاي همساني از خود نشان مي دهند و اين مي تواند نقطه آغاز شناسايي يك بات در داخل شبكه باشد و با شناسايي اين رفتار همگون مي توان ترافيك توليدي بات ها را از ترافيك عادي شبكه تفكيك كرد و از مشكلاتي مانند يافتن الگوريتم هاي رمزگشايي كانال هاي ارتباطي رمزنگاري شده در امان بود. رفتار همسان بات ها در داخل شبكه بات مي تواند منجر به توليد ويژگي ها و خصيصه هايي شود كه بتوان با تحليل اين ويژگي ها، جريان بدخواه را از جريان سالم تشخيص داد. منطق اصلي روش استفاده شده در اين پژوهش بر اين پايه استوار است كه شبكه هاي بات، الگو هاي ترافيكي قابل تشخيصي از خود به جاي مي گذارند كه به كمك روش هاي يادگيري ماشين قابل شناسايي بوده و مي توان ترافيك توليدي توسط آن ها را از ترافيك عادي شبكه جدا كرد. در اين مقاله ويژگي ها و رفتار شبكه هاي بات مشهور همچون Weasel در جهت توليد خصيصه ها مطالعه شد. سپس بعد از تهيه مجموعه داده هاي واقعي كه تركيبي از ترافيك سالم و ترافيك توليدي توسط چندين شبكه بات مشهور است، جريان بسته ها در پنجره هاي زماني 300 ثانيه اي تحليل شده و با توجه به الگو هاي ترافيكي قابل تشخيص، خصيصه هاي مختلفي استخراج (توليد) شد. اين خصيصه ها در ابزار وِكا و به كمك الگوريتم هاي يادگيري ماشين داده كاوي شده و نتايج طبقه بندي به عنوان خروجي ارائه مي شود. نتايج خروجي ها نشان دهنده نرخ تشخيص بالاتر در مقايسه باكارهاي مشابه و در حدود 99 درصد مي باشد. درنهايت نيز روشي براي شناسايي بلادرنگ شبكه هاي بات ارائه خواهد شد.

Botnet" is a network of infected computers connected to the Internet that is under management of the command and control server and is used for denial of service attacks، for sending spams and other malicious operations. The size of a botnet depends on the complexity and number of computers employed. Users usually do not know that their systems are remotely controled and abused. Botnets are attractive for cyber criminals، because they are capable of being reset for various offenses، moved to new hosting services، or they are reprogrammed in response to new developments in security. Despite the specific characteristics of each botnet، bots in a botnet exhibit homogeneous behaviors and this can be the starting point for identifying a botnet within a network. Discoverable behavior of bots in a botnet can lead to production of features and attributes. Analyzing of these features، we can classify traffic to malicious and non-malicious traffic.This approach uses network flow analysis and machine learning methods to detect peer to peer botnets. Furthermore،this approach is flow-based and analyzes features extracted from flows based on the behavior of well-known botnets such as Weasel، etc and determines that the new traffic is an attack or not.