چکیده:
باتنتها از جمله جدیدترین نوع بدافزارها در مقیاس اینترنت میباشند که در سالهای اخیر بیشترین تهدیدات را متوجه سامانههای اینترنتی نمودهاند. بات، رایانهای آلودهشده به یک بدافزار است که بدون آگاهی و اراده کاربر و از راه دور توسط یک یا چند عامل انسانی کنترل میشود. به این عامل کنترلکننده، سرکرده یا مدیربات گویند و گاهی سیستم آلوده را قربانی نیز مینامند. باتنت نظیربهنظیر یکی از انواع باتنت است که از پروتکلهای نظیربهنظیر برای کنترل باتهای خود استفاده میکند و شناسایی این نوع از باتنت نسبت به انواع دیگر مشکلتر است. رویکرد پیشنهادی ما یک راهحل برای شناسایی چنین باتنتهایی است. این رویکرد با استفاده از تحلیل جریان شبکه و روشهای خوشهبندی در دادهکاوی، باتنتهای نظیربهنظیر را شناسایی میکند. رویکرد ارائهشده، مبتنی بر جریان بوده و با مقایسه شباهت بین جریانها و خوشهبندی جریانهای مقایسهشده با استفاده از الگوریتم K-Means و نهایتا مقایسه خوشههای ترافیک جدید با خوشههای قبلی، میتواند وجود یا عدم وجود حمله را تشخیص دهد. به این ترتیب که ابتدا یک ترافیک از جنس حمله و یک ترافیک معمولی خوشهبندی میشود، سپس ترافیک جدید که نوع آن مشخص نیست خوشهبندی میشود. درنهایت خوشهبندی ترافیک جدید با دو ترافیک قبلی مقایسه شده و مشخص میشود که ترافیک جدید از چه نوعی است. رویکرد ارائهشده برای تشخیص باتنت از ترافیک ازدحام ناگهانی، عملکرد خوبی را از خود نشان میدهد و این خصوصیت، وجه تمایز الگوریتم پیشنهادی، نسبت به الگوریتمهای مشابه آن است. درنهایت عملکرد رویکرد ارائهشده، با ترافیکهای مختلف موردبررسی قرارگرفته میشود.
خلاصه ماشینی:
رویکرد ارائهشده برای تشخیص باتنت از ترافیک ازدحام ناگهانی، عملکرد خوبی را از خود نشان میدهد و این خصوصیت، وجه تمایز الگوریتم پیشنهادی، نسبت به الگوریتمهای مشابه آن است.
نکتهای که وجود دارد این است که جریانهای حمله جاری در مقایسه با جریان ازدحام ناگهانی، شباهت بیشتری به هم دارند؛ و طبق همین اصل، الگوریتمی ارائهشده که از ضریب همبستگی جریان، بهعنوان یک پارامتر شباهت برای جریانهای مشکوک استفاده میشود.
مقایسه روشهای تشخیص باتنت (1) روش تشخیص مزایا معایب مبتنی بر امضا الگویتم ساده و دقیق عدم شناسایی باتهای جدید افزایش نرخ منفی کاذب برای باتهای جدید افزایش نرخ مثبت کاذب هنگام تنوع باتها سنگین بودن الگوریتم بهدلیل داشتن پایگاه داده بزرگ از امضاها عبور باتنت از سیستم، با استفاده از فنهای مبهم کدگذاری مبتنی بر ناهنجاری داشتن عمومیت قادر بودن به شناسایی باتهای جدید مقاوم در برابر ترافیک رمز شده سبکتر نسبت به روش مبتنی بر امضا سربار محاسباتی بیشتر نسبت به الگوریتمهای مبتنی بر امضا اعلان خطای بالا مبتنی بر DNS داشتن تمام مزایای مربوط به الگوریتمهای مبتنی بر ناهنجاری پیاده یازی راحتتر نسبت به الگوریتمهای مبتنی بر ناهنجاری داشتن تمام معایب مربوط به الگوریتمهای مبتنی بر ناهنجاری مبتنی بر دادهکاوی شناسایی باتهای جدید مقاوم در برابر رمزنگاری پیچیدگی الگوریتم سرعت عمل کمتر 7- معرفی چند پژوهش برای تشخیص باتنت نظیربه نظیر تارنج<FootNote No="129" Text="- Tarng"/> و همکاران [19] یک روش شش مرحلهای را برای شناسایی جریانهای ترافیک باتنتهای نظیربهنظیر در مرحله فرمان- کنترل از چرخه حیات ارائه دادهاند که مبتنی بر محتوا است.