تشخیص بدافزارهای کنترلی دستوری در ترافیک شبکه

سال انتشار: 1393
محل انتشار: دومین همایش ملی پژوهش های کاربردی در برق، مکانیک و مکاترونیک
کد COI اختصاصی: ELEMECHCONF02_001
زبان مقاله: فارسی
تعداد مشاهده: 1111

دانلود فایل این مقاله

نویسندگان

زهرا خادم

دانشجوی کارشناسی ارشد دانشگاه صنعتی مالک اشتر،تهران

حسین شیرازی

استاد، دانشگاه صنعتی مالک اشتر، تهران

سیدمحمدرضا فرشچی

دانشجوی دکترا، دانشگاه صنعتی مالک اشتر، تهران

چکیده

دراین مقاله هدف بررسی بدافزارهای کنترلی دستوری (c&c) و تشخیص این کانال می باشد. باتوجه به اینکه تقریبا اکثر بدافزارها از برنامه های کاربردی تحت وب به منظور انتقال ترافیک کانال (c&c) بهره می گیرند، بنابراین این مقاله بر ترافیک وب تمرکز دارد. درصد زیادی از ترافیک وب از طریق پروتکل HTTP حمل شده و در کاربردهای امن از بستر TLS استفاده می شود. از آنجایی که در صورت استفاده از TLS داده های کاربردی رمز می شوند، بنابراین روش آشکار سازی کانال C&C TLS براساس طول داده های رمز شده استوار است. درترافیک HTTP از دو روش برای آشکار سازی استفاده می شود. روش اول مبتنی برالگوی سرآیندهای HTTP عامل های کاربر و تشخیص عامل های دستکاری شده از طریق مقایسه بااین الگوها می باشد. نرخ تشخیص دراین روش در حدود 97/4% بوده و نرخ خطای مثبت آن بالا و در حدود 0/5% است. راهکاردوم استفاده از روش های تحلیل بی نظمی می باشد که نسبت به روش قبل دارای نرخ تشخیص پایین تر 29/2% بوده و نرخ خطای مثبت آن 0/14% است. در موارد ذکر شده از الگوریتم های یادگیری ماشین جهت یادگیری استفاده و نرخ خطای مثبت و نرخ تشخیص آنها با یکدیگر مقایسه شده است.

کلیدواژه ها

بدافزار، کانال کنترلی-دستوریHTTP 3TLS 3(C&C)

مقالات مرتبط جدید

اطلاعات بیشتر در مورد COI

COI مخفف عبارت CIVILICA Object Identifier به معنی شناسه سیویلیکا برای اسناد است. COI کدی است که مطابق محل انتشار، به مقالات کنفرانسها و ژورنالهای داخل کشور به هنگام نمایه سازی بر روی پایگاه استنادی سیویلیکا اختصاص می یابد.

کد COI به مفهوم کد ملی اسناد نمایه شده در سیویلیکا است و کدی یکتا و ثابت است و به همین دلیل همواره قابلیت استناد و پیگیری دارد.