Abstract:
یک شبکهبات، شبکهای از رایانههای آلوده و دستگاههای هوشمند بر روی اینترنت است که توسط مدیربات بدافزار از راه دور کنترل میشود تا فعالیتهای بدخواهانه مختلفی نظیر اجرای حملات منع خدمات، ارسال هرزنامه، سرقت کلیک و غیره را انجام دهند. زمانیکه مدیربات با باتهای خود ارتباط برقرار میکند، ترافیکی تولید میکند که تجزیه و تحلیل این ترافیک برای شناسایی ترافیک شبکهبات میتواند یکی از عوامل تاثیر گذار برای سامانههای تشخیص نفوذ باشد. در این مقاله، روش یادگیری عمیق با حافظه کوتاهمدت ماندگار (LSTM) جهت طبقهبندی فعالیتهای شبکهبات نظیربهنظیر پیشنهاد میشود. رویکرد پیشنهادی بر اساس ویژگیهای بستههای پروتکلکنترلانتقال بوده و کارایی روش با استفاده از دو مجموعه داده ISCX و ISOT ارزیابی میشود. نتایج آزمایشهای انجامیافته، توانایی بالای رویکرد پیشنهادی برای شناسایی فعالیتهای شبکهبات نظیربهنظیر را بر اساس معیارهای ارزیابی نشان میدهد. روش پیشنهادی نرخ دقت 65/99 درصد، نرخ صحت 32/96 درصد و نرخ بازخوانی 63/99 درصد را با نرخ مثبت کاذب برابر 67/0 ارائه میکند.
A Botnet is a set of infected computers and smart devices on the Internet that are controlled remotely by a Botmaster to perform various malicious activities like distributed denial of service attacks(DDoS), sending spam, click-fraud and etc. When a Botmaster communicates with its own Bots, it generates traffic that analyzing this traffic to detect the traffic of the Botnet can be one of the influential factors for intrusion detection systems (IDS). In this paper, the long short term memory (LSTM) method is proposed to classify P2P Botnet activities. The proposed approach is based on the characteristics of the transfer control protocol (TCP) packets and the performance of the method is evaluated using both ISCX and ISOT datasets. The experimental results show that our proposed approach has a high capability in identifying P2P network activities based on evaluation criteria. The proposed method offers a 99.65% precision rate, a 96.32% accuracy rate and a recall rate of 99.63% with a false positive rate (FPR) of 0.67%.