تشخیص بات‌نت‌‌ها با کانال‌های فرمان و کنترل پنهان زمانی

Abstract

امروزه بات‌نت‌ها به عنوان یک ناهنجاری در فرآیند تبادل اطلاعات و آسیب‌رساندن به منابع شبکه تبدیل شده‌اند. روش‌های تشخیص آن‌ها همواره با چالش‌هایی روبرو بوده است و به عنوان یک موضوع تحقیق مورد بررسی و به‌روز شدن قرار گرفته است. اصلی‌ترین جزء یک بات‌نت، کانال فرمان و کنترل آن است و مدیربات توسط این کانال، فرمان‌های خود را برای اجرا روی سیستم قربانی ارسال می‌کند. در صورت تشخیص کانال فرمان و کنترل یک بات‌نت، عملا ارتباط با مدیر بات برقرار نشده و دستورات مدیربات اجرا نمی‌شوند. به همین دلیل مدیر بات با استفاده از انواع روش‌های فرار سعی می‌کند احتمال کشف کانال را پایین نگه دارد. کانال پنهان فرمان و کنترل مفهومی است که بات‌نت‌های نسل جدید برای مخفی‌سازی ارتباط خود به‌کار می‌برند. در این مقاله یک مدل انتزاعی از بات‌نت پیشنهاد شده است که در آن فرمان‌های مدیر بات، مبتنی بر تاخیر زمانی بین بسته‌های و توالی آن‌ها ارسال می‌شوند. این فرمان‌ها از طریق کانال‌ فرمان و کنترل پنهان زمانی ارسال می‌شوند. در ادامه با استفاده از مفهوم فعالیت گروهی بات‌‌ها؛ روشی برای تشخیص این بات‌نت پیشنهاد شده است. معماری روش تشخیص، از سه لایه جمع‌آوری و پردازش ترافیک، پردازش الگوها و تشخیص دومرحله‌ای تشکیل شده است. با استفاده از روش تشخیص دو مرحله‌ای که شامل ماتریس شباهت و آنتروپی است، میزبان‌های آلوده به بات تشخیص داده می‌شوند. برای ارزیابی روش، پنج کانال زمانی معتبر شبیه‌سازی شده و هر کدام برای ارسال فرمان‌‌های مدیربات مورد استفاده قرار می‌گیرند. نتایج آزمایش‌ها، کارایی روش تشخیص با وجود حداقل دو بات در شبکه را نشان می‌دهد.