چکیده:
«شبکه بات» شبکهای از رایانههای آلوده متصل به اینترنت است که تحت مدیریت سرور فرماندهی و کنترل قرار دارد و برای حملات انکار سرویس، فرستادن هرزنامه و عملیات مخرب دیگر مورداستفاده قرار میگیرد. باوجود ویژگیهای خاص هر شبکه بات، باتها در داخل شبکه رفتارهای همسانی از خود نشان میدهند و این میتواند نقطه آغاز شناسایی یک بات در داخل شبکه باشد و با شناسایی این رفتار همگون میتوان ترافیک تولیدی باتها را از ترافیک عادی شبکه تفکیک کرد و از مشکلاتی مانند یافتن الگوریتمهای رمزگشایی کانالهای ارتباطی رمزنگاریشده در امان بود. رفتار همسان باتها در داخل شبکه بات میتواند منجر به تولید ویژگیها و خصیصههایی شود که بتوان با تحلیل این ویژگیها، جریان بدخواه را از جریان سالم تشخیص داد. منطق اصلی روش استفادهشده در این پژوهش بر این پایه استوار است که شبکههای بات، الگوهای ترافیکی قابلتشخیصی از خود بهجای میگذارند که به کمک روشهای یادگیری ماشین قابلشناسایی بوده و میتوان ترافیک تولیدی توسط آنها را از ترافیک عادی شبکه جدا کرد. در این مقاله ویژگیها و رفتار شبکههای بات مشهور همچون Weasel در جهت تولید خصیصهها مطالعه شد. سپس بعد از تهیه مجموعه دادههای واقعی که ترکیبی از ترافیک سالم و ترافیک تولیدی توسط چندین شبکه بات مشهور است، جریان بستهها در پنجرههای زمانی 300 ثانیهای تحلیلشده و با توجه به الگوهای ترافیکی قابلتشخیص، خصیصههای مختلفی استخراج (تولید) شد. این خصیصهها در ابزار وکا و به کمک الگوریتمهای یادگیری ماشین دادهکاوی شده و نتایج طبقهبندی بهعنوان خروجی ارائه میشود. نتایج خروجیها نشاندهنده نرخ تشخیص بالاتر در مقایسه باکارهای مشابه و در حدود 99 درصد میباشد. درنهایت نیز روشی برای شناسایی بلادرنگ شبکههای بات ارائه خواهد شد.
خلاصه ماشینی:
"اطلاعات بهدستآمده نشان میدهد که با گروهبندی تعداد کم بستهها در یک جریان (بین 50 تا 100 بسته) و با درنظرگرفتن اینکه شبکههای باتیی مانند weasel در ارتباطات خود بسیار کند عمل کرده و تعداد بستههای کمی بین مدیر بات و باتها رد و بدل میشود، بتوان سیستمی طراحی کرد که ترافیک عبوری را بهصورت بلادرنگ و با نرخ تشخیص بالا در دو گروه بدخواه و سالم طبقهبندی کند.
جدول (4): درصد معیارهای ارزیابی برای تشخیص شبکه بات براساس خصیصههای استخراجی (T=300s) رجوع شود به تصویر صفحه رجوع شود به تصویر صفحه شکل (3): تأثیر اندازه پنجره زمانی بر نرخ مثبت صحیح ترافیک بدخواه رجوع شود به تصویر صفحه شکل (4): تأثیر اندازه پنجره زمانی بر نرخ مثبت کاذب ترافیک بدخواه · الگوریتم پیشنهادی در مقاله برای تولید ترافیک از فایل نمونه با توجه به استفاده از یک تحلیلگر نحوی قابل اطمینان و قدرتمند مانند Microsoft Network Monitor Parser از سرعت بسیاری نسبت به کارهای مشابه مانند روشهای تحت وب و فیتون دارد.
رجوع شود به تصویر صفحه شکل (5): مقایسه الگوریتمهای مختلف برای طبقهبندی جریانها در پنجره زمانی 300 ثانیه رجوع شود به تصویر صفحه شکل (6): مقایسه زمانهای تولید مدل در هر الگوریتم جدول (5): مقایسه معیارهای ارزیابی در گروهبندی تعداد مختلف بسته در هر جریان رجوع شود به تصویر صفحه 8- نتیجهگیری در این مقاله سعی شده است تا یک روندکاری مناسب در جهت تشخیص کامپیوترهای آلوده به شبکه بات اتخاذ شود تا به کمک روشهای یادگیری ماشین و نیز با استفاده از دادههای برچسبگذاریشده، خصیصههای تولیدی از جریان بستهها به کمک ابزار متنباز وکا طبقهبندی شود."