استفاده از یک روش خوشهبندی و محاسبه شهرت منفی هر میزبان به منظور تشخیص باتنتها با استفاده از ترافیک DNS
الموضوعات : electrical and computer engineeringرضا شریفنیای دیزبنی 1 , آناهیتا منافی مورکانی 2
1 - دانشگاه تربیت مدرس
2 - دانشگاه تربیت مدرس
الکلمات المفتاحية:
ملخص المقالة :
امروزه باتنتها به عنوان یکی از مهمترین تهدیدها در برابر زیرساخت اینترنت شناخته میشوند. هر باتنت گروهی از میزبانهای آلودهشده با کد مخرب یکسان است که توسط مهاجم و از طریق یک یا چند سرویسدهنده فرمان و کنترل از راه دور هدایت میشوند. از آنجاییکه سرویس DNS یکی از مهمترین سرویسها در شبکه اینترنت است، مهاجمین از آن جهت مقاومسازی باتنت خود استفاده میکنند. مهاجمین با استفاده از این سرویس دو تکنیک تغییر پیدرپی آدرس IP و تغییر پیدرپی نام دامنه را پیادهسازی میکنند. این تکنیکها به مهاجم کمک میکنند تا مکان سرویسدهندههای فرمان و کنترل خود را به صورت پویا تغییر داده و از قرارگرفتن آدرسهای آنها در فهرستهای سیاه جلوگیری کنند. در این مقاله، یک روش خوشهبندی به همراه محاسبه شهرت منفی هر میزبان به منظور تشخیص برخط باتنتهایی پیشنهاد میشود که از سرویس DNS در مراحل مختلف از چرخه حیات خود استفاده میکنند. در روش پیشنهادی در پایان هر پنجره زمانی، ابتدا پرس و جوهای DNS با ویژگیهای مشابه با استفاده از یک الگوریتم خوشهبندی انتخاب شده و در خوشههای جداگانهای قرار میگیرند. سپس میزبانهای مشکوک شناسایی شده و به ماتریس فعالیتهای گروهی مشکوک اضافه میشوند. در نهایت، شهرت منفی میزبانهای موجود در این ماتریس محاسبه شده و میزبانهایی که شهرت منفی بالایی دارند به عنوان میزبانهای آلوده به بات گزارش میشوند. نتایج آزمایشهای انجامشده نشان میدهد که روش پیشنهادی قادر است باتنتهایی را که از پرس و جوهای DNS در مراحل مختلف چرخه حیات خود استفاده میکنند با دقت بالا و نرخ هشدار نادرست پایین تشخیص دهد.
