خلاصة:
امروزه باتنتها به عنوان یک ناهنجاری در فرآیند تبادل اطلاعات و آسیبرساندن به منابع شبکه تبدیل شدهاند. روشهای تشخیص آنها همواره با چالشهایی روبرو بوده است و به عنوان یک موضوع تحقیق مورد بررسی و بهروز شدن قرار گرفته است. اصلیترین جزء یک باتنت، کانال فرمان و کنترل آن است و مدیربات توسط این کانال، فرمانهای خود را برای اجرا روی سیستم قربانی ارسال میکند. در صورت تشخیص کانال فرمان و کنترل یک باتنت، عملا ارتباط با مدیر بات برقرار نشده و دستورات مدیربات اجرا نمیشوند. به همین دلیل مدیر بات با استفاده از انواع روشهای فرار سعی میکند احتمال کشف کانال را پایین نگه دارد. کانال پنهان فرمان و کنترل مفهومی است که باتنتهای نسل جدید برای مخفیسازی ارتباط خود بهکار میبرند. در این مقاله یک مدل انتزاعی از باتنت پیشنهاد شده است که در آن فرمانهای مدیر بات، مبتنی بر تاخیر زمانی بین بستههای و توالی آنها ارسال میشوند. این فرمانها از طریق کانال فرمان و کنترل پنهان زمانی ارسال میشوند. در ادامه با استفاده از مفهوم فعالیت گروهی باتها؛ روشی برای تشخیص این باتنت پیشنهاد شده است. معماری روش تشخیص، از سه لایه جمعآوری و پردازش ترافیک، پردازش الگوها و تشخیص دومرحلهای تشکیل شده است. با استفاده از روش تشخیص دو مرحلهای که شامل ماتریس شباهت و آنتروپی است، میزبانهای آلوده به بات تشخیص داده میشوند. برای ارزیابی روش، پنج کانال زمانی معتبر شبیهسازی شده و هر کدام برای ارسال فرمانهای مدیربات مورد استفاده قرار میگیرند. نتایج آزمایشها، کارایی روش تشخیص با وجود حداقل دو بات در شبکه را نشان میدهد.
Nowadays, botnets have become an inconsistency in the process of exchanging information and tampering network resources. Botnet detection methods have always faced challenges and have been investigated and promoted as subjects of research. The main characteristics of botnets is the command and control (C&C) channel through which a botmaster sends malicious commands to the victim's system. By detecting the C&C channel of a botnet, the botnet is not essentially able to communicate with the botmaster and loses its efficiency. For this reason, botmasters try to evade detection by using a variety of methods. Covert command and control channel is a concept that the new generation of botnets use to hide their communications. In this paper, a Botnet is proposed, in which botmaster’s commands are sent by using Inter Packet Delays (IPDs) and their sequences. The commands are sent via a timing-based covert command and control channel. In the following, a detection method is proposed by applying the concept of group activity of bots. A three-layer architecture is proposed whichconsists of traffic data collection and processing, pattern processing, and two-step detection methods. Using thetwo-step detection method including similarity matrix and entropy, hosts infected with the bot are detected. To evaluate the method, five covert timing channels are simulated and each of them is used to send botmaster commands. The results of the experiments showed the effectiveness of the detection method with the minimum number of two bots in the network.
ملخص الجهاز:
در این مقاله یک مدل انتزاعی از باتنت پیشنهاد شده است که در آن فرمانهای مدیر بات، مبتنی بر تاخیر زمانی بین بستههای و توالی آنها ارسال میشوند.
ترافیک فرمان و کنترل این بات به تعدادی قطعه تقسیم میشود و در فیلد rdata، پاسخ DNS از رکورد TXT ارسال میشوند و با استفاده از الگوریتم Base 64 کدگذاری شده است؛ پیامهای ارسالی نیز با استفاده از رمز جریانی RC4 رمزگذاری میشوند.
باتنت زمانی که در این بخش ارایه میشود باتنتی است که برای برقراری ارتباط و ارسال فرمان به باتها از کانال فرمان و کنترل پنهان زمانی استفاده میکند.
اگر مقدار آنتروپی میزبانهای مظنون به بات، از حد آستانه تعیین شده برای آنتروپی ترافیک مجاز تجاوز کند، این میزبانها بهعنوان میزبانهای آلوده به بات تشخیص داده میشوند.
محاسبه آنتروپی شرطی اصلاحشده میزبانهای مشکوک در روش آنتروپی برای تشخیص میزبانهای آلوده از مفهوم درخت نظم استفاده شده است.
(رجوع شود به تصوير صفحه) شکل (3): میانگین میزان شباهت الگوهای سالم SSH آلودگی با یک بات در این مرحله یک میزبان شبکه آلوده میشود.
Wang, “An entropy-based approach to detecting covert timing Channels,” IEEE Transactions on Dependable and Secure Computing, vol.
Lee, “BotSniffer: detecting botnet command and control channels in network traffic,” In Proceedings of the 15th Annual Network & Distributed System Security Symposium, The Internet Society (ISOC), 2008.
Shields, “IP Covert Timing Channels : Design and Detection,” In Proceedings of the 11th ACM conference on Computer and communications security, pp.