خلاصة:
یکی از تهدیدات روزافزون در اینترنت و شبکههای کامپیوتری بات نتها هستند. بات نت، شبکهای از کامپیوترهای آلوده متصل به اینترنت است که تحت کنترل سرور فرماندهی و کنترل قرار میگیرد و برای حملات اینترنتی همچون حملات ممانعت از سرویس و فرستادن هرزنامه، مورد استفاده قرار میگیرد. بات نت با شناسایی دستگاههای آسیبپذیر موجود در شبکه و به مصالحه درآوردن آنها، حیطه تحت کنترل خود را گسترش میدهد. بات نتها بهسرعت در حال پیشرفت هستند و از فنّاوریهای جدید همچون DNS و تغییرات پیدرپی سریع، برای به دام انداختن کاربران و افزایش حفاظت از کامپیوترهای آلوده خود بهره میبرند. یکی از انواع تغییرات پیدرپی سریع، استفاده از الگوریتم تولید نام دامنه است. مهاجمین با استفاده از این روش از قرار گرفتن نام دامنه سرویسدهندههای فرماندهی و کنترل خود در فهرستهای سیاه جلوگیری مینمایند. بسیاری از روشهای تشخیص باتنت، مبتنی بر تحلیل فعالیت گروهی باتنتها هستند، اما استفاده از این روش بهتنهایی، در شبکههای کوچک و متوسط کارایی مناسبی ندارد. هدف ما در این مقاله ارائه روشی جامع و کامل برای تشخیص باتنتهایی است که از تغییرات پیدرپی نام دامنه در ترافیک استفاده میکنند و بهصورت الگوریتمی تولید میشوند. روش ما قابلیت تشخیص باتنتهای شناختهشده و همچنین ناشناختهای که از این روش استفاده میکنند را دارا هست. در این روش، تشخیص باتنتها بر اساس پاسخهای ناموفق یا NXDomain در هر میزبان صورت میگیرد. این ویژگی باعث میشود که دقت تشخیص در شبکههای کوچک و متوسط افزایش یابد. این روش در شبکههای آلوده به باتنتهای کانفیکر و کراکن آزمایش و اطلاعات بهدستآمده از آن مورد تجزیه و تحلیل قرارگرفته است.
ملخص الجهاز:
"کلید واژهها: باتنت، هرزنامه، DNS، تغییر پیدرپی دامنه، الگوریتم تولید نام دامنه، Nxdomain <H1>1</H1> <H1>- مقدمه</H1> باتنت شبکهای از ماشینآلات به خطر افتاده است که بهوسیله مدیر بات<FootNote No="19" Text="- Botmaster"/> برای انجام حملات مورد استفاده و کنترل قرار میگردد ]1[.
2-2- تجزیه و تحلیل کارهای مرتبط برای تشخیص باتنتها روشهای مختلفی پیشنهادشده است که در ادامه به برخی از آنها اشاره میشود: Choi و همکاران ]12 و 13[ روشی به نام BotGAD پیشنهاد کردند که بر اساس نظارت بر فعالیتهای گروهی<FootNote No="33" Text="- Group Activity Property"/> ترافیک DNS عمل میکند.
<H1>3- ساختار سیستم پیشنهادی تشخیص باتنت</H1> روش پیشنهادی ما ضعفهای روشهای مذکور را برطرف و خصوصیاتی از ترافیک DNS و فعالیت باتنتهای مبتنی بر الگوریتم تولید نام دامنه را مدنظر قرار خواهد داد که در هر میزبان بهطور جداگانه قابل اندازهگیری باشد.
همانطور که اشاره گردید، یکی از ویژگیهای کلیدی باتنتهای مبتنی بر الگوریتم تولید نام دامنه، تولید روزانه نگاشتهای ناموفق یا NXDomain ها برای نامهای دامنهای است که وجود ندارند؛ بنابراین در میزبانی که به بات آلوده است تعداد NXDomain ها نسبت به میزبانهای عادی بهطور قابلتوجهی بیشتر استNXDomain ها غالبا بهصورت گروهی تولید میشوند؛ بنابراین در ترافیک شبکهای که آلوده به باتهای موردنظر ما هستند، افزایش تعداد درخواستهای رکورد A و در پی آن افزایش پاسخهای ناموفق یا NXDomain و درنهایت افزایش حجم ترافیک DNS نسبت به ترافیک کل شبکه اتفاق میافتد.
همانطورکه ذکر گردید مقادیر α، β و γ به ترتیب عبارتاند از 10، 5/0 و 10 در این مقاله روشی جامع و کامل برای تشخیص باتنتهایی که از تغییرات پیدرپی نام دامنه در ترافیک استفاده میکنند و بهصورت الگوریتمی تولید میشوند ارائه شده است."