تشخیص بات نت به وسیله تحلیل فعالیت های گروهی و پاسخ های ناموفق ترافیک شبکه
|
|
|
|
|
|
|
|
نویسنده
|
محمدی وحید ,رضائی عباسعلی
|
|
منبع
|
پدافند غيرعامل - 1395 - دوره : 7 - شماره : 3 - صفحه:19 -27
|
|
چکیده
|
یکی از تهدیدات روزافزون در اینترنت و شبکههای کامپیوتری بات نتها هستند. بات نت، شبکهای از کامپیوترهای آلوده متصل به اینترنت است که تحت کنترل سرور فرماندهی و کنترل قرار میگیرد و برای حملات اینترنتی همچون حملات ممانعت از سرویس و فرستادن هرزنامه، مورد استفاده قرار میگیرد. بات نت با شناسایی دستگاههای آسیبپذیر موجود در شبکه و به مصالحه درآوردن آنها، حیطه تحت کنترل خود را گسترش میدهد. بات نتها بهسرعت در حال پیشرفت هستند و از فنّاوریهای جدید همچون dns و تغییرات پیدرپی سریع، برای به دام انداختن کاربران و افزایش حفاظت از کامپیوترهای آلوده خود بهره میبرند. یکی از انواع تغییرات پیدرپی سریع، استفاده از الگوریتم تولید نام دامنه است. مهاجمین با استفاده از این روش از قرار گرفتن نام دامنه سرویسدهندههای فرماندهی و کنترل خود در فهرستهای سیاه جلوگیری مینمایند. بسیاری از روشهای تشخیص باتنت، مبتنی بر تحلیل فعالیت گروهی باتنتها هستند، اما استفاده از این روش بهتنهایی، در شبکههای کوچک و متوسط کارایی مناسبی ندارد. هدف ما در این مقاله ارائه روشی جامع و کامل برای تشخیص باتنتهایی است که از تغییرات پیدرپی نام دامنه در ترافیک استفاده میکنند و بهصورت الگوریتمی تولید میشوند. روش ما قابلیت تشخیص باتنتهای شناختهشده و همچنین ناشناختهای که از این روش استفاده میکنند را دارا هست. در این روش، تشخیص باتنتها بر اساس پاسخهای ناموفق یا nxdomain در هر میزبان صورت میگیرد. این ویژگی باعث میشود که دقت تشخیص در شبکههای کوچک و متوسط افزایش یابد. این روش در شبکههای آلوده به باتنتهای کانفیکر و کراکن آزمایش و اطلاعات بهدستآمده از آن مورد تجزیه و تحلیل قرارگرفته است.
|
|
کلیدواژه
|
بات نت، هرزنامه، تغییر پیدرپی دامنه، الگوریتم تولید نام دامنه، nxdomain
|
|
آدرس
|
دانشگاه پیام نور, ایران, دانشگاه پیام نور, گروه مهندسی کامپیوتر و فناوری اطلاعات, ایران
|
|
پست الکترونیکی
|
a_razaee@pnu.ac.ir
|
|
|
|
|
|
|