تشخيص بات‌نت براي شبكه‌هاي نظيربه نظير

Botnet Detection for Peer to Peer Networks

بات‌نت‌ها از جمله جديدترين نوع بدافزارها در مقياس اينترنت مي‌باشند كه در سال‏هاي اخير بيش ترين تهديدات را متوجه سامانه‏هاي اينترنتي نموده‏اند. بات، رايانه اي آلوده‏شده به يك بدافزار است كه بدون آگاهي و اراده‏ كاربر و از راه دور توسط يك يا چند عامل انساني كنترل مي‌شود. به اين عامل كنترل‏كننده، سركرده يا مديربات گويند و گاهي سيستم آلوده را قرباني نيز مي نامند. بات‌نت نظيربه‌نظير يكي از انواع بات‌نت است كه از پروتكل هاي نظيربه‌نظير براي كنترل بات‌هاي خود استفاده مي‌كند و شناسايي اين نوع از بات‌نت نسبت به انواع ديگر مشكل تر است. رويكرد پيشنهادي ما يك راه حل براي شناسايي چنين بات‌نت‌هايي است. اين رويكرد با استفاده از تحليل جريان شبكه و روش‌هاي خوشه‌بندي در داده‌كاوي، بات‌نت‌هاي نظيربه‌نظير را شناسايي مي‌كند. رويكرد ارايه‌شده، مبتني بر جريان بوده و با مقايسه شباهت بين جريان‌ها و خوشه‌بندي جريان هاي مقايسه شده با استفاده از الگوريتم K-Means و نهايتاً مقايسه خوشه‌هاي ترافيك جديد با خوشه‌هاي قبلي، مي‌تواند وجود يا عدم وجود حمله را تشخيص دهد. به ‌اين ‌ترتيب كه ابتدا يك ترافيك از جنس حمله و يك ترافيك معمولي خوشه بندي مي شود، سپس ترافيك جديد كه نوع آن مشخص نيست خوشه بندي مي شود. درنهايت خوشه-بندي ترافيك جديد با دو ترافيك قبلي مقايسه شده و مشخص مي شود كه ترافيك جديد از چه نوعي است. رويكرد ارايه شده براي تشخيص بات نت از ترافيك ازدحام ناگهاني، عملكرد خوبي را از خود نشان مي دهد و اين خصوصيت، وجه تمايز الگوريتم پيشنهادي، نسبت به الگوريتم هاي مشابه آن است. درنهايت عملكرد رويكرد ارايه‌شده، با ترافيك‌هاي مختلف موردبررسي قرارگرفته مي‌شود.

Botnets are the latest types of internet-scale malware in recent years that has been the greatest threats to the web servers. Bot is an infected computer by a malware that are controlled remotely by one or more human factors without the user’s knowledge. This controller agent called “bot master” and sometimes the infected system is called “victim”. Peer to peer botnet is one type of botnets that use peer to peer protocols and detection of this type of botnet is more difficult than other types. Our suggested approach is a new method to detect such botnets. This approach uses network flow analysis and clustering method in data mining to detect peer to peer botnets. This approach is flow-based and compares the similarity between flows and K-Means clustering algorithm and eventually determines that the new traffic is an attack or not. This approach has good performance in detection of botnets in flash crowd traffic and this characteristic is distinction of the suggested algorithm and similar algorithms. Finally, the suggested approach has been tested with different traffic.