یک روش شهرت دهی برای تشخیص بات نت های نسل جدید مبتنی بر شناسایی نام های دامنه الگوریتمی

سال انتشار: 1392
نوع سند: مقاله کنفرانسی
زبان: فارسی
مشاهده: 440

فایل این مقاله در 7 صفحه با فرمت PDF قابل دریافت می باشد

استخراج به نرم افزارهای پژوهشی:

لینک ثابت به این مقاله:

شناسه ملی سند علمی:

ISCC10_029

تاریخ نمایه سازی: 5 آبان 1397

چکیده مقاله:

هر بات نت گروهی از میزبان هایی است که با کد مخرب یکسانی آلوده شده و از طریق یک یا چند سروی س دهنده فرمان و کنترلتوسط مهاجم هدایت می شوند. در بات نت های نسل جدید (از قبیل Conficker و Murofet فهرست نام های دامنه سرویس دهندگان فرمان و کنترل به صورت پویا ایجاد می شود. این فهرست پویا که توسط یک الگوریتم تولید نام دامنه ایجاد می شود به مهاجم کمکمی کند تا مکان سرویس دهندگان فرمان و کنترل خود را به صورت دوره ای تغییر داده و از قرار گرفتن آدرس های آنها در فهرست هایسیاه جلوگیری کند. هر میزبان آلوده با استفاده از یک الگوریتم از پیش تعریف شده، تعداد زیادی نام دامنه تولید کرده و با ارسالپرس و جوهای DNS تلاش می کند آنها را به آدرس های متناظرشان نگاشت کند. در این مقاله، روشی برای تشخیص این دسته از بات نت های نسل جدید پیشنهاد می شود که از ترافیک DNS برای محاسبه شهرت منفی میزبان های مشکوک استفاده می کند. درروش پیشنهادی، ابتدا در پایان هر پنجره زمانی، پرس و جوهای DNS با ویژگی های مشابه انتخاب می شوند. سپس میزبان های تولید کننده نام های دامنه الگوریتمی با توجه به توزیع کاراکترهای حرفی- عددی در این پرس و جوها شناسایی شده و به ماتریسفعالیت های گروهی مشکوک اضافه می شوند. همچنین، میزبان هایی که تعداد شکست ها در پرس و جوهای DNS آنها از یک آستانهمشخص عبور کند به ماتریس شکست های مشکوک اضافه می شوند. در نهایت، شهرت منفی میزبان ها در این دو ماتریس محاسبهشده و میزبان های دارای شهرت منفی بالا به عنوان میزبان های آلوده به بات تشخیص داده می شوند. نتایج آزمایش های انجام شدهنشان می دهد که روش پیشنهادی قادر است بات نت های مبتنی بر الگوریت مهای تولید نام دامنه را با دقت بالا و نرخ هشدار نادرستپایین تشخیص دهد.

کلیدواژه ها:

بات نت نسل جدید ، تشخیص با تنت ، شهرت منفی ، الگوریتم تولید نام دامنه ، تغییر پی در پی دامنه

نویسندگان

رضا شریف نیای دیزبنی

گروه مهندسی کامپیوتر، دانشکده مهندسی برق و کامپیوتر، دانشگاه تربیت مدرس، تهران

مهدی آبادی

گروه مهندسی کامپیوتر، دانشکده مهندسی برق و کامپیوتر، دانشگاه تربیت مدرس، تهران