در سال های اخیر بدافزار های اینترنت به سمت سازماندهی بهتر و سود محوری بیشتر رشد کردند. امروزه بات نت ها به عنوان مهمترین تهدید برای کاربران اینترنت به حساب می آیند .

(( اینجا فقط تکه ای از متن درج شده است. برای خرید متن کامل فایل پایان نامه با فرمت ورد می توانید به سایت feko.ir مراجعه نمایید و کلمه کلیدی مورد نظرتان را جستجو نمایید. ))

مهاجمین ، پس از تصرف سیستم های آسیب پذیر قربانیان ، نرم افزارهای مخرب^[۱۵] خود را که از راه دور^[۱۶] قابل هدایت هستند بر روی آن سیستم ها نصب کرده و سپس می توانند با بهره گرفتن از این قربانیان ، حملات اینترنتی^[۱۷] مختلفی از قبیل ارسال هرزنامه ^[۱۸]، حملات جلوگیری از سرویس توزیع شده^[۱۹] ، سرقت هویت و سایر فعالیت های مجرمانه را در مقیاس بسیار بزرگ اجرا نمایند ، در حالی که هویت اصلی فرد مهاجم مخفی باقی میماند .
مشکل اصلی در مورد بات نت ها انجام این اعمال به صورت پنهانی است ، یعنی تا زمانی که به طور خاص به دنبال آن ها نباشیم ، از حضورشان در سیستم بی اطلاع خواهیم بود و تا زمانیکه در سیستم قربانی باقی بمانند ، سیستم قربانی قادر به مقاومت در مقابل عدم اجرای دستورات مالک بات نت^[۲۰] نخواهد بود.
با پیشرفت پهنای باند^[۲۱] شبکه ها و قدرت محاسبات ماشین ها ، امروزه محاسبات توزیع شده^[۲۲] به وفور مورد استفاده قرار می گیرد . در این راستا هکرها^[۲۳] هم از این مفهوم برای انجام حملات قدرتمندتری استفاده می کنند .
بات نت ها نمونه عملی این نوع حملات هستند . بات نت مجموعه ای از ماشین های آلوده در سطح اینترنت می باشد که توسط مهاجمین برای انجام دادن فعالیت های بدخواهانه^[۲۴] و غیر قانونی^[۲۵] از را دور کنترل می شوند .
به آنها ربات^[۲۶] یا بطور کوتاه شده بات^[۲۷] می گویند و این نامگذاری از رفتار اتوماتیک آنها سرچشمه می گیرد . بر خلاف کرم ها^[۲۸] و ویروس ها^[۲۹] که اهداف خرابکارانه^[۳۰] دارند ، هدف از بکارگیری
بات نت ها توسط کنترل کننده های^[۳۱] آنان معمولا مالی^[۳۲] می باشد .

اهمیت و ضرورت انجام تحقیق

بنابر بررسی های انجام شده توسط شرکت امنیتی Marshal، هر سیستم آلوده بات نت ۶۰۰۰۰۰ هرزنامه^[۳۳] در روز ارسال می کند. بات نت های Xarvester و Rustock قوی ترین منتشر کنندگان هرزنامه در دنیا هستند و قادر به ارسال ۲۵۰۰۰پیام در هر ساعت ، ۶۰۰۰۰۰ پیام در هر روز و ۴٫۲ میلیون پیام در هر هفته هستند، که تنها همین موضوع ضرورت بررسی انواع روش های کشف بات نت را ایجاد می کند.

جنبه جدید بودن و نوآوری در تحقیق

امروزه بیشترین درآمد هکرها از طریق فروش بات نت هاست .
همچنین بحث C&C(Command & Control) و چرخه حیات^[۳۴] بات نت این موضوع را از دیگر مباحث بدافزارها متمایز می کند.
این پایان نامه شامل ۵ فصل می باشد که در فصل اول به معرفی تعاریف موضوع پرداخته شده است. در فصل دوم به بررسی مطالعات پیشین در موضوع تشخیص بات نت پرداخته است. فصل سوم روش پیشنهادی بیان شده است و نهایتاً در فصل پنجم نتیجه گیری انجام شده است.

فصل دوم

مرور مطالعات پیشین

مقدمه

با توجه به اینکه در سال های اخیر بد افزارهای اینترنت به سمت سازماندهی بهتر و سود محوری بیشتر رشد کردند ، امروزه بات نت ها به عنوان مهمترین تهدید برای کاربران اینترنت به حساب می آیند.
به همین علت پژوهش های متعددی در حوزه تشخیص بات نت ها انجام شده است .

معیار های تشخیص^[۳۵]

تشخیص بات نت معیار های متفاوتی دارد که در زیر به چند نمونه آن اشاره می شود .
اگر روشی قادر به تشخیص بات نت ها در مراحل آغازین از چرخه حیات آن ها (مراحل شکل گیری و فرمان و کنترل) باشد ، می تواند آن ها را قبل از مشارکت در یک حمله سایبری^[۳۶] از کار بیاندازد. در مقابل، روشهایی که بات نت ها را در مرحله حمله از چرخه حیات آن ها تشخیص می دهند از دقت بالاتری برخوردار هستند.

سطوح تشخیص^[۳۷]

در سوی دیگر، روش های تشخیص بات نت می توانند دو سطح مختلف از تحلیل همبستگی شامل سطح انفرادی^[۳۸] و سطح گروهی^[۳۹] را به کار گیرند.
در تحلیل سطح انفرادی ، تمرکز روش های تشخیص بات نت بر روی شناسایی هر میزبان^[۴۰] آلوده به بات به صورت انفرادی در شبکه می باشد ، بدون این که به رفتار میزبان های آلوده به بات دیگر توجه نماید. این روش ها دارای این مزیت هستند که قادرند حتی یک میزبان آلوده به بات را در شبکه تحت نظارت و تشخیص دهند . تحلیل سطح انفرادی معمولاً از طریق انطباق فعالیت های مشاهده شده با الگوهای شناخته شده^[۴۱] موجود در پایگاه داده^[۴۲] انجام می شود . بنابراین نیاز به دانش قبلی^[۴۳] از بات نت ها دارد.

سطح گروهی

در تحلیل سطح گروهی، روش های تشخیص بات نت تلاش می کنند تا دو و یا چندین میزبان که دارای الگوی رفتاری مشابه^[۴۴] هستند را شناسایی کرده و آن ها را به عنوان میزبان های مشکوک^[۴۵] به بات تشخیص دهند. روش های با تحلیل سطح گروهی به طور کلی نسبت به روش های با تحلیل سطح انفرادی ، دقیق تر عمل می کنند، زیرا از چندین منبع اطلاعاتی^[۴۶] برای تشخیص استفاده می کنند. در مقابل ، رو شهایی که از تحلیل سطح گروهی بهره میگیرند تنها قادر به تشخیص بات های عضو یک بات نت در شبکه تحت نظارت هستند.
حال با توجه به اطلاعات فوق به بررسی کارهای انجام گرفته در زمینه کشف بات نت ها می پردازیم.
Zeng و دیگران روشی ترکیبی بر مبنای مشاهدات در سطح شبکه و میزبان ارائه دادند ، چارجوب کاری آن ها بدین شکل است که ابتدا جریان موجود در شبکه را بررسی و آنالیز^[۴۷]
می کند و آنهایی که ترافیک مشابهی^[۴۸] دارند را کشف^[۴۹] می کنند .[۱۶]
Strayer و دیگران استفاده از تکنیک یادگیری ماشین^[۵۰] را برای کشف ترافیک IRC آلوده پیشنهاد کردند . کاری که آن ها انجام دادند در دو لایه خلاصه می شود ، در لایه اول ترافیک IRC و غیر IRC از هم جدا می شوند و سپس بین ترافیک بات نت^[۵۱] و ترافیک قانونی^[۵۲]IRC تفکیک انجام می شود . [۷]
T.Ha و دیگران روی kademila ( نوعی بات نت P2P^[53] ) تمرکز کردند . آن ها دیدگاه
تازه ای را در رابطه با کشف بات نت ها با بهره گرفتن از نقاط استراتژیک بیان کرد.آن ها فاکتور هایی مثل درجه مرکزیت^[۵۴] ، درجه تراکم^[۵۵] و مرکزیت بردار^[۵۶]Eigen و مرکزیت بر پایه مسیریابی^[۵۷] معرفی کردند. به عنوان نمونه مرکزیت بردار Eigen می گوید تمامی اتصالات به یک میزبان خاص به اندازه هم مهم نیستند ، بلکه آن هایی مهمتر هستند که به نود های مهمتر در شبکه وصل شده اند . با مشخص شدن این فاکتور ها در شبکه می توان انتخاب های بهتری برای نقاط نظارتی در شبکه انجام داد ، چون همانطور که قبلا نیز گفته شد امکان نظارت بر کل شبکه وجود ندارد . همچنین می توان نقاط گلوگاه را که در حیات شبکه بات ها تأثیر بسزایی دارد را تعیین کرد . [۵]
Choi و همکاران یک روش برخط غیرنظارتی برای تشخیص بات نت ها با نام BotGAD
پیشنهاد کرده اند. آن ها در ابتدا یک فعالیت گروهی را به عنوان یک ویژگی کلیدی بات نت تعریف کرده و معیاری برای تشخیص بات نت ها با نظارت بر فعالیت های گروهی در ترافیک DNS ارائه کردند .[۲]
Wang و همکاران یک سیستم مبتنی بر رفتار برای تشخیص بات نت ها ارائه کرد هاند که بر اساس تکنیک های بازشناسی الگوی فازی^[۵۸] است و از تحلیل سطح انفرادی استفاده می کند.
ایده اصلی روش آن ها بر مبنای شناسایی نام های دامنه^[۵۹] و آدرس های IP بدخواه^[۶۰] مورد استفاده توسط بات نت می باشد که از طریق بازرسی جریان های شبکه حاصل می شوند .
این روش از سه مرحله کاهش ترافیک ، استخراج ویژگی و بازشناسی الگوی فازی تشکیل شده است . در ابتدا ترافیک شبکه وارد مرحله کاهش ترافیک شده و پس از پالایش به مرحله استخراج ویژگی تحویل داده می شوند . در نهایت ، مرحله بازشناسی الگوی فازی ، فعالیت های مرتبط با
بات نت را بر اساس تعلق بردارهای ویژگی استخراج شده به چندین تابع عضویت تشخیص می دهند . این توابع عضویت شامل :
(۱) تولید درخواستهای DNS ناموفق
(۲)مشابهت در فاصله های ارسال درخواست های DNS
(۳) تولید اتصالات ناموفق شبکه ای و
(۴) داشتن اندازه بدنه یکسان در اتصالات شبکه ای آن ها می باشند . [۱۲]
Yahyazadehو همکاران یک روش غیرنظارتی برخط با نام BotOnus برای تشخیص بات نت های مختلف ارائه کرده اند. در این روش در پایان هر دوره زمانی مجموعه ای از بردارهای جریان از ترافیک شبکه استخراج می شود . سپس این بردارهای جریان با بهره گرفتن از یک الگوریتم خوشه بندی^[۶۱] با شعاع ثابت برخط به تعدادی خوشه تقسیم می شوند . طبق مشاهده ، آن ها به دلیل این که
بات های عضو یک بات نت ، کد دودویی یکسانی را اجرا می کنند ، بردار های جریان تولید شده توسط آن ها از شباهت زیادی نسبت به هم برخوردار هستند. بنابراین خوشه های تولید شده با بهره گرفتن از یک معیار شباهت درون خوشه تحلیل می شوند تا خوشه های حاوی جریان های دنباله ای بات نت شناسایی گردند . [۱۴]
Stinson , Mitchell روشی را ارائه دادند تحت عنوان Botswat که در آن به جای اینکه به بررسی ترافیک شبکه برای پی بردن به کانال ^[۶۲]C&C و ارتباطات بات ها بپردازیم به مانیتور^[۶۳] و آنالیز تعاملات داخل یک سیستم کامپیوتری توجه می کنیم . کار آنها بر مبنای تفاوت قائل شدن بین برنامه های معمولی که در یک کامپیوتر اجرا می شود و فراخوانی های سیستمی که با پارامترهای آلوده انجام می شود بنا شده است ، که اصولا این پارامترها از طریق شبکه فرستاده می شوند . ویژگی کلیدی که در پیدا کردن بات ها بر آن تاکید داشته اند توجه داشتن به ماهیت کنترل شوندگی بات ها از راه دور است[۱۱]