تشخیص بات‌نت‌‌ها با کانال‌های فرمان و کنترل پنهان زمانی

امروزه بات‌نت‌ها به عنوان یک ناهنجاری در فرآیند تبادل اطلاعات و آسیب‌رساندن به منابع شبکه تبدیل شده‌اند. روش‌های تشخیص آن‌ها همواره با چالش‌هایی روبرو بوده است و به عنوان یک موضوع تحقیق مورد بررسی و به‌روز شدن قرار گرفته است. اصلی‌ترین جزء یک بات‌نت، کانال فرمان و کنترل آن است و مدیربات توسط این کانال، فرمان‌های خود را برای اجرا روی سیستم قربانی ارسال می‌کند. در صورت تشخیص کانال فرمان و کنترل یک بات‌نت، عملا ارتباط با مدیر بات برقرار نشده و دستورات مدیربات اجرا نمی‌شوند. به همین دلیل مدیر بات با استفاده از انواع روش‌های فرار سعی می‌کند احتمال کشف کانال را پایین نگه دارد. کانال پنهان فرمان و کنترل مفهومی است که بات‌نت‌های نسل جدید برای مخفی‌سازی ارتباط خود به‌کار می‌برند. در این مقاله یک مدل انتزاعی از بات‌نت پیشنهاد شده است که در آن فرمان‌های مدیر بات، مبتنی بر تاخیر زمانی بین بسته‌های و توالی آن‌ها ارسال می‌شوند. این فرمان‌ها از طریق کانال‌ فرمان و کنترل پنهان زمانی ارسال می‌شوند. در ادامه با استفاده از مفهوم فعالیت گروهی بات‌‌ها؛ روشی برای تشخیص این بات‌نت پیشنهاد شده است. معماری روش تشخیص، از سه لایه جمع‌آوری و پردازش ترافیک، پردازش الگوها و تشخیص دومرحله‌ای تشکیل شده است. با استفاده از روش تشخیص دو مرحله‌ای که شامل ماتریس شباهت و آنتروپی است، میزبان‌های آلوده به بات تشخیص داده می‌شوند. برای ارزیابی روش، پنج کانال زمانی معتبر شبیه‌سازی شده و هر کدام برای ارسال فرمان‌‌های مدیربات مورد استفاده قرار می‌گیرند. نتایج آزمایش‌ها، کارایی روش تشخیص با وجود حداقل دو بات در شبکه را نشان می‌دهد.

Detecting Botnets with TimingBased Covert Command and Control Channels

Nowadays, botnets have become an inconsistency in the process of exchanging information and tampering network resources. Botnet detection methods have always faced challenges and have been investigated and promoted as subjects of research. The main characteristics of botnets is the command and control (C&C) channel through which a botmaster sends malicious commands to the victim’s system. By detecting the C&C channel of a botnet, the botnet is not essentially able to communicate with the botmaster and loses its efficiency. For this reason, botmasters try to evade detection by using a variety of methods. Covert command and control channel is a concept that the new generation of botnets use to hide their communications. In this paper, a Botnet is proposed, in which botmaster’s commands are sent by using Inter Packet Delays (IPDs) and their sequences. The commands are sent via a timingbased covert command and control channel. In the following, a detection method is proposed by applying the concept of group activity of bots. A threelayer architecture is proposed whichconsists of traffic data collection and processing, pattern processing, and twostep detection methods. Using thetwostep detection method including similarity matrix and entropy, hosts infected with the bot are detected. To evaluate the method, five covert timing channels are simulated and each of them is used to send botmaster commands. The results of the experiments showed the effectiveness of the detection method with the minimum number of two bots in the network.