استفاده از یک روش یادگیری ماشین و محاسبه مقدار عدم اعتماد به هر میزبان به منظور تشخیص بات نت ها

  • سال انتشار: 1397
  • محل انتشار: کنفرانس بین المللی امنیت، پیشرفت و توسعه پایدار مناطق مرزی، سرزمینی و کلانشهرها، راهکارها و چالش ها با محوریت پدافند غیر عامل و مدیریت بحران
  • کد COI اختصاصی: ICSP01_110
  • زبان مقاله: فارسی
  • تعداد مشاهده: 542
دانلود فایل این مقاله

نویسندگان

رضا شریف نیای دیزبنی

گروه مهندسی کامپیوتر، دانشکده مهندسی برق و کامپیوتر، دانشگاه تربیت مدرس، تهران

غلی خلیلی

گروه مهندسی کامپیوتر، دانشکده مهندسی برق و کامپیوتر، دانشگاه تربیت مدرس، تهران

چکیده

امروزه بات نت ها یکی از مهم ترین تهدیدها در برابر زیرساخت اینترنت شناخته می شوند. هر بات نت گروهی از میزبان های آلوده شده با کد مخرب یکسان است که توسط مهاجم و از طریق یک یا چند سرویس دهنده فرمان و کنترل از راه دور هدایت می شوند. از آنجایی که سرویس DNS یکی از مهم ترین سرویس ها در شبکه اینترنت است، مهاجمین از آن جهت مقاو سازی بات نت خود استفاده می کنند. مهاجمین با استفاده از این سرویس دو تکنیک تغییر پی در پی آدرس IP و تغییر پی در پی نام دامنه را پیاده سازی می کنند. این تکنیک ها به مهاجم کمک می کنند تا مکان سرویس دهنده های فرمان و کنترل خود را به صورت پویا تغییر داده و از قرار گرفتن آدرس های آن ها در فهرست های سیاه جلوگیری کنند. در این مقاله، یک روش خوشه بندی به همراه محاسبه شهرت منفی هر میزبان به منظور تشخیص برخط بات نت هایی پیشنهاد می شود که از سرویس DNS در مراحل مختلف از چرخه حیات خود استفاده می کنند. در روش پیشنهادی، در پایان هر پنجره زمانی، ابتدا پرس و جوهای DNS با ویژگی های مشابه با استفاده از یک الگوریتم خوشه بندی انتخاب شده و در خوشه های جداگا نه ای قرار می گیرند. سپس میزبان های مشکوک شناسایی شده و به ماتریس فعالیت های گروهی مشکوک اضافه می شوند. در نهایت، شهرت منفی میزبان های موجود در این ماتریس محاسبه شده و میزبان هایی که شهرت منفی بالایی دارند به عنوان میزبان های آلوده به بات گزارش می شوند. نتایج آزمایش های انجام شده نشان می دهد که روش پیشنهادی قادر است تا بات نت هایی را که از پرس و جوهای DNS در مراحل مختلف چرخه حیات خود استفاده می کنند با دقت بالا و نرخ هشدار نادرست پایین تشخیص دهد.

کلیدواژه ها

تشخیص بات نت، خوشه بندی پرس و جوی DNS، الگوریتم تولید نام دامنه، تغییر پی در پی آدرس IP، تغییر پی در پی نام دامنه

مقالات مرتبط جدید

اطلاعات بیشتر در مورد COI

COI مخفف عبارت CIVILICA Object Identifier به معنی شناسه سیویلیکا برای اسناد است. COI کدی است که مطابق محل انتشار، به مقالات کنفرانسها و ژورنالهای داخل کشور به هنگام نمایه سازی بر روی پایگاه استنادی سیویلیکا اختصاص می یابد.

کد COI به مفهوم کد ملی اسناد نمایه شده در سیویلیکا است و کدی یکتا و ثابت است و به همین دلیل همواره قابلیت استناد و پیگیری دارد.