زهرا خادم - دانشجوی کارشناسی ارشد دانشگاه صنعتی مالک اشتر،تهران
حسین شیرازی - استاد، دانشگاه صنعتی مالک اشتر، تهران
سیدمحمدرضا فرشچی - دانشجوی دکترا، دانشگاه صنعتی مالک اشتر، تهران

دراین مقاله هدف بررسی بدافزارهای کنترلی دستوری (c&c) و تشخیص این کانال می باشد. باتوجه به اینکه تقریبا اکثر بدافزارها از برنامه های کاربردی تحت وب به منظور انتقال ترافیک کانال (c&c) بهره می گیرند، بنابراین این مقاله بر ترافیک وب تمرکز دارد. درصد زیادی از ترافیک وب از طریق پروتکل HTTP حمل شده و در کاربردهای امن از بستر TLS استفاده می شود. از آنجایی که در صورت استفاده از TLS داده های کاربردی رمز می شوند، بنابراین روش آشکار سازی کانال C&C TLS براساس طول داده های رمز شده استوار است. درترافیک HTTP از دو روش برای آشکار سازی استفاده می شود. روش اول مبتنی برالگوی سرآیندهای HTTP عامل های کاربر و تشخیص عامل های دستکاری شده از طریق مقایسه بااین الگوها می باشد. نرخ تشخیص دراین روش در حدود 97/4% بوده و نرخ خطای مثبت آن بالا و در حدود 0/5% است. راهکاردوم استفاده از روش های تحلیل بی نظمی می باشد که نسبت به روش قبل دارای نرخ تشخیص پایین تر 29/2% بوده و نرخ خطای مثبت آن 0/14% است. در موارد ذکر شده از الگوریتم های یادگیری ماشین جهت یادگیری استفاده و نرخ خطای مثبت و نرخ تشخیص آنها با یکدیگر مقایسه شده است.

بدافزار، کانال کنترلی-دستوریHTTP 3TLS 3(C&C)