استفاده از یک روش خوشهبندی و محاسبه شهرت منفی هر میزبان به منظور تشخیص باتنتها با استفاده از ترافیک dns
|
|
|
|
|
|
|
|
نویسنده
|
شریفنیای دیزبنی رضا ,منافی مورکانی آناهیتا
|
|
منبع
|
مهندسي برق و مهندسي كامپيوتر ايران - 1395 - دوره : 14 - شماره : 1 - صفحه:63 -72
|
|
چکیده
|
امروزه باتنتها به عنوان یکی از مهمترین تهدیدها در برابر زیرساخت اینترنت شناخته میشوند. هر باتنت گروهی از میزبانهای آلودهشده با کد مخرب یکسان است که توسط مهاجم و از طریق یک یا چند سرویسدهنده فرمان و کنترل از راه دور هدایت میشوند. از آنجاییکه سرویس dns یکی از مهمترین سرویسها در شبکه اینترنت است، مهاجمین از آن جهت مقاومسازی باتنت خود استفاده میکنند. مهاجمین با استفاده از این سرویس دو تکنیک تغییر پیدرپی آدرس ip و تغییر پیدرپی نام دامنه را پیادهسازی میکنند. این تکنیکها به مهاجم کمک میکنند تا مکان سرویسدهندههای فرمان و کنترل خود را به صورت پویا تغییر داده و از قرارگرفتن آدرسهای آنها در فهرستهای سیاه جلوگیری کنند. در این مقاله، یک روش خوشهبندی به همراه محاسبه شهرت منفی هر میزبان به منظور تشخیص برخط باتنتهایی پیشنهاد میشود که از سرویس dns در مراحل مختلف از چرخه حیات خود استفاده میکنند. در روش پیشنهادی در پایان هر پنجره زمانی، ابتدا پرس و جوهای dns با ویژگیهای مشابه با استفاده از یک الگوریتم خوشهبندی انتخاب شده و در خوشههای جداگانهای قرار میگیرند. سپس میزبانهای مشکوک شناسایی شده و به ماتریس فعالیتهای گروهی مشکوک اضافه میشوند. در نهایت، شهرت منفی میزبانهای موجود در این ماتریس محاسبه شده و میزبانهایی که شهرت منفی بالایی دارند به عنوان میزبانهای آلوده به بات گزارش میشوند. نتایج آزمایشهای انجامشده نشان میدهد که روش پیشنهادی قادر است باتنتهایی را که از پرس و جوهای dns در مراحل مختلف چرخه حیات خود استفاده میکنند با دقت بالا و نرخ هشدار نادرست پایین تشخیص دهد.
|
|
کلیدواژه
|
تشخیص باتنت، محاسبه شهرت منفی، تغییر پیدرپی آدرس ip، تغییر پیدرپی نام دامنه، خوشهبندی پرس و جوی dns
|
|
آدرس
|
دانشگاه تربیت مدرس, دانشکده مهندسی برق و کامپیوتر, گروه مهندسی کامپیوتر, ایران, دانشگاه تربیت مدرس, دانشکده مهندسی برق و کامپیوتر, گروه مهندسی کامپیوتر, ایران
|
|
پست الکترونیکی
|
anahita.manafi@modares.ac.ir
|
|
|
|
|
|
|