یک روش شهرت دهی برای تشخیص بات نت های نسل جدید مبتنی بر شناسایی نام های دامنه الگوریتمی
عنوان مقاله: یک روش شهرت دهی برای تشخیص بات نت های نسل جدید مبتنی بر شناسایی نام های دامنه الگوریتمی
شناسه ملی مقاله: ISCC10_029
منتشر شده در دهمین کنفرانس بین المللی انجمن رمز ایران در سال 1392
شناسه ملی مقاله: ISCC10_029
منتشر شده در دهمین کنفرانس بین المللی انجمن رمز ایران در سال 1392
مشخصات نویسندگان مقاله:
رضا شریف نیای دیزبنی - گروه مهندسی کامپیوتر، دانشکده مهندسی برق و کامپیوتر، دانشگاه تربیت مدرس، تهران
مهدی آبادی - گروه مهندسی کامپیوتر، دانشکده مهندسی برق و کامپیوتر، دانشگاه تربیت مدرس، تهران
خلاصه مقاله:
رضا شریف نیای دیزبنی - گروه مهندسی کامپیوتر، دانشکده مهندسی برق و کامپیوتر، دانشگاه تربیت مدرس، تهران
مهدی آبادی - گروه مهندسی کامپیوتر، دانشکده مهندسی برق و کامپیوتر، دانشگاه تربیت مدرس، تهران
هر بات نت گروهی از میزبان هایی است که با کد مخرب یکسانی آلوده شده و از طریق یک یا چند سروی س دهنده فرمان و کنترلتوسط مهاجم هدایت می شوند. در بات نت های نسل جدید (از قبیل Conficker و Murofet فهرست نام های دامنه سرویس دهندگان فرمان و کنترل به صورت پویا ایجاد می شود. این فهرست پویا که توسط یک الگوریتم تولید نام دامنه ایجاد می شود به مهاجم کمکمی کند تا مکان سرویس دهندگان فرمان و کنترل خود را به صورت دوره ای تغییر داده و از قرار گرفتن آدرس های آنها در فهرست هایسیاه جلوگیری کند. هر میزبان آلوده با استفاده از یک الگوریتم از پیش تعریف شده، تعداد زیادی نام دامنه تولید کرده و با ارسالپرس و جوهای DNS تلاش می کند آنها را به آدرس های متناظرشان نگاشت کند. در این مقاله، روشی برای تشخیص این دسته از بات نت های نسل جدید پیشنهاد می شود که از ترافیک DNS برای محاسبه شهرت منفی میزبان های مشکوک استفاده می کند. درروش پیشنهادی، ابتدا در پایان هر پنجره زمانی، پرس و جوهای DNS با ویژگی های مشابه انتخاب می شوند. سپس میزبان های تولید کننده نام های دامنه الگوریتمی با توجه به توزیع کاراکترهای حرفی- عددی در این پرس و جوها شناسایی شده و به ماتریسفعالیت های گروهی مشکوک اضافه می شوند. همچنین، میزبان هایی که تعداد شکست ها در پرس و جوهای DNS آنها از یک آستانهمشخص عبور کند به ماتریس شکست های مشکوک اضافه می شوند. در نهایت، شهرت منفی میزبان ها در این دو ماتریس محاسبهشده و میزبان های دارای شهرت منفی بالا به عنوان میزبان های آلوده به بات تشخیص داده می شوند. نتایج آزمایش های انجام شدهنشان می دهد که روش پیشنهادی قادر است بات نت های مبتنی بر الگوریت مهای تولید نام دامنه را با دقت بالا و نرخ هشدار نادرستپایین تشخیص دهد.
کلمات کلیدی: بات نت نسل جدید، تشخیص با تنت، شهرت منفی، الگوریتم تولید نام دامنه، تغییر پی در پی دامنه
صفحه اختصاصی مقاله و دریافت فایل کامل: https://civilica.com/doc/788043/