مقاله تشخیص بدون نظارت بات نت های نظیر به نظیر ، بر اساس رویکرد سیستمهای ایمنی مصنوعی

بخشی از مقاله

چکیده

امروزه باتنتها به عنوان یکی از مهمترین تهدیدات امنیتی در مقابل زیرساخت شبکهها و اینترنت محسوب میشوند. معماری بیشتر باتنتها مبتنی بر معماری متمرکز و در مقیاس بسیار بزرگ است که این دو ویژگی کشف این نوع باتنتها را تسهیل میکند. به همین دلیل طراحان باتنت سعی بر اضافه کردن امکانات جدیدی به آنها کردند که از مهمترین این امکانات، معماری غیرمتمرکز آن است.

در این راستا، با استفاده از پروتکلهای شبکه نظیر به نظیر، شبکههای بات جدیدی ایجاد شدند که نه تنها برای افزایش سرعت انتشار باتها بلکه برای ساخت باتنتها با توان بیشتر مورد استفاده قرار میگیرند. در این مقاله، برای بالا بردن میزان اثربخشی، تطابقپذیری و قابلیت یادگیری در تشخیص باتنتهای نظیر به نظیر، روشی با استفاده از سیستمهای ایمنی مصنوعی ارائه شدهاست. به این صورت که علاوه بر مرحله آموزش، در هنگام استفاده از سیستم نیز فرایند یادگیری را انجام میدهد و این امکان را به سیستم میدهد تا علاوه بر تشخیص باتنتهای جدید، امکان تطبیق با باتنتهای تغییر یافته را نیز داشته باشد. از دیدگاه اثربخشی نیز نتایج ارزیابی نشان میدهد که روش پیشنهادی دارای دقتی برابر %96 در تشخیص باتهای شناخته شده و همچنین دقتی برابر %91 در تشخیص باتهای جدید و ناشناخته دارد.

-1 مقدمه

باتنت1 به مجموعهای از کامپیوترهای آلوده به بات که با نام زامبی نیز شناخته میشود، گفته میشود که به صورت از راه دور توسط یک مهاجم - مدیر بات - 2 از طریق کانال فرمان و کنترل به منظور انجام انواع فعالیتهای مخرب کنترل میشوند. باتنتها - یا به عبارت دیگر همان ارتش زامبیها - 3 میتوانند به عنوان سکوهایی که قادر به انجام انواع حملات سایبری هماهنگ و در مقیاسهای بزرگ مانند هرزنامه، حملات منع سرویس توزیع شده، حملات صیادی4، حملات دزدی کلیک5، سواستفاده از موتور جستجو و دزدی اطلاعات[1] بکار گرفته شوند. در سال 2007، Vint Cerf، که به عنوان یکی از پدران اینترنت شناخته میشود، تخمین زده بود که بیش از 25 درصد کل کامپیوترها آلوده به بات هستند.[2] و در این چند سال اخیر به شدت تهدید باتنتها را تجربه خواهند کرد.

از یک سو، رشد سریع باتنت ها هم به لحاظ جمعیتی و هم به لحاظ تنوع به وقوع پیوسته است و آنها شروع به آلوده ساختن زیرساختهای در حال ظهور مانند تلفنهای هوشمند[3] و سیستمهای کنترل صنعتی کردهاند. از سوی دیگر، باتنتها به طور فزایندهای مخفی و نیز مقاوم شدهاند. در نتیجه، به عنوان یکی از جدیترین تهدیدات علیه امنیت اینترنت و حتی امنیت ملی شناخته میشوند.

بنابراین تشخیص، کاهش و جلوگیری از باتنتها امری ضروری به نظر میرسد. ساخت سیستمهای تشخیص باتنت از اهمیت مبنایی برخوردار است، به این علت که به عنوان یک گام ضروری برای کاهش و پیشگیری از اقدامات بیشتر آنها فعالیت میکند. سیستمهای تشخیص باتنت مبتنی بر شبکه به ویژه با توجه به مشاهده رفتار شبکهای تمام میزبانهای در شبکه تحت نظارت و همچنین طبیعت مقاوم بودنش در برابر مداخله و تحریف، میتواند به عنوان یک سیستم ایزوله لایهای در برابر میزبانهای آلوده به بات مطلوب باشد. در این مقاله، یک روش مؤثر برای تشخیص جریان ارتباطی باتنتهای مبتنی بر شبکههای نظیر به نظیر ارائه شده و سعی بر این است، جریان ارتباطی بصورت خاصی تشخیص داده شود که بتوان قبل از وقوع حمله، باتها را از یکدیگر تفکیک کرد تا دستور حمله به دیگر باتها ارسال نشود. مزیتهای روش پیشنهادی عبارت است از اینکه:

-1 بر خلاف اکثر روشهای تشخیص، تنها جریان ارتباطی باتنتها با یکدیگر را در نظر گرفته و به جریان کامل حمله نیاز ندارد.

-2 استفاده از مفاهیم سیستمهای ایمنی مصنوعی و ارائه یک الگوریتم بهینه شده شبکه ایمنی مصنوعی که توانایی تطابقپذیری و یادگیری بدون نظارت6 بردارهای جریان را فقط بعد از یکبار عبور از آن دارد.

-3 از نرخ تشخیص بالا و نرخ هشدار نادرست پایین برخوردار است.

در ادامه، در بخش 2 به پژوهشهای مرتبط انجام گرفته در این زمینه اشاره شده و در بخش 3 ساختار باتنتهای نظیر به نظیر و همچنین سیستمهای ایمنی مصنوعی معرفی میگردد و در بخش 4 نیز روش پیشنهادی شرح داده شده است. در بخش 5 نتایج آزمایشهای انجام شده برای ارزیابی کارآیی روش پیشنهادی ارائه میشود و در نهایت در بخش 6 و پایانی نتیجه گیری به عمل میآید.

-2 کارهای مرتبط

بیشتر پژوهشهایی که تا به امروز در زمینه تشخیص باتنتها انجام شده، بر روی باتنتهای با معماری متمرکز فرمان و کنترل HTTP - ، - IRC بودهاست. از آنجایی که باتنتهای مبتنی بر شبکههای نظیر به نظیرنسبتاً جدید هستند، و از معماری متفاوتی نسبت به آنچه که در قبل وجود داشتهاست پیروی میکنند، روشهای تشخیص قبلی برای شناخت آنها تا حد زیادی ناکارآمد است. اما روشهای مؤثر برای شناسایی آنها و آنچه که در آینده ساخته خواهدشد، هنوز موضوع تحقیق میباشد.

در این بخش همه روشهایی که ذکر خواهیم کرد، روشهای تشخیص مبتنی بر شبکههای نظیر به نظیر است. این روشها به دو دسته، یکی روشهای مبتنی بر میزبان و دیگری روشهای مبتنی بر شبکه تقسیم میشوند. روشهای مبتنی بر شبکه خود نیز به دو دسته روشهای مبتنی بر ناهنجاری شبکه و روشهای مبتنی بر ساختار شبکه تقسیم میگردند.

در روشهای مبتنی بر میزبان، Hammandi و همکارانش[4] روشی ارائه دادند که بر اساس همبستگی فعالیتهای مختلف باتنت در سیستم و طی مدت زمان کوتاهی، بات را تشخیص میدهند. برای ارزیابی روش، باتنت Storm مورد مطالعه قرار گرفته و برنامهای برای نظارت بر فرآیند و ثبت فراخوانیهای توابع این فرآیند داده شدهاست، سپس دادههای جمعآوری شده نرمالسازی میشوند و به تابع همبستگی برای پردازش آنها داده میشود. نتیجه نشان میدهد که این روش برای کشف باتنت Storm دقت بالایی ندارد. مشکل اساسی این الگوریتم در تابع همبستگی آن است که چرا مقدار حد آستانه برای متمایز کردن فرآیندهای برنامهی بات از بقیهی فرآیندهای دیگر تعریف نشده است. به علاوه اینکه این الگوریتم روی کد باتنت Storm آزمایش شده و بقیهی باتها را در نظر نگرفته است.

در مقالات مربوط به روشهای مبتنی بر شبکه، این تکنیکها سعی بر تشخیص باتنتها بر مبنای ناهنجاری در جریان شبکه دارند. مواردی مانند افزایش ناگهانی ترافیک یک پروتکل خاص و بالا بودن تأخیر در شبکه، بالا بودن حجم ترافیک، ترافیک بر روی درگاههای غیرمعمول و رفتارهای سیستمی غیرمعمول نشاندهندهی سکونت باتهای بدخواه در شبکه است.

BotGrep روشی است که توسط Nagaraja و همکارانش در سال 2010 مطرح شد. روش BotGrep ابتدا اقدام به جمعآوری جریانهای شبکه بر روی چند شبکه بزرگ - مانند شبکههای - ISP کرده و سپس با تجزیه و تحلیل گرافهای ارتباطی شکل گرفته بین گرهها در شبکههای توری فوق، اقدام به شناسایی باتنتهای نظیر به نظیر بر روی آنها مینماید.

BotGrep ابتدا اقدام به شناسایی گروهی میزبانها که با هم تشکیل یک شبکهی نظیر به نظیرکردهاند، میکند. برای تمییز بیشتر بین باتنتهای نظیر به نظیر و شبکههای قانونی نظیر به نظیر - مانند شبکههای اشتراک فایل نظیر به نظیر - ، BotGrep نیاز به اطلاعات اضافی بیشتری دارد تا الگوریتم تشخیص خودش را خودراهاندازی نماید. برای مثال، BotGrep ممکن است از یک لیست از گرههای ارتباطی مرتبط با میزبانهای ظرفعسل استفاده کند، و یا از نتایج تشخیص سیستمهای تشخیص نفوذ استفاده نماید.

بههرحال، بهدست آوردن هر دوی این موارد، هم یک دید کلی مناسب از ارتباطات اینترنت و هم اطلاعات مقایسهای کافی برای خودراهاندازی الگوریتم تشخیص، ممکن است خیلی چالشبرانگیز باشد و نیز باعث میشود که نتایج تشخیص به شدت وابسته به سیستمهای دیگر باشد که در نتیجه باعث محدودیتهایی در اجرای BotGrep در دنیای واقعی گردد.

در سال 2014، P. Narang و همکارانش، یک روش جدید برای تشخیص باتنتهای نظیر به نظیر ارائه کردند.[7] این روش جدید که PeerShark نام دارد قبل از مرحله حمله قادر به تشخیص است. این روش بیان میکند که باتهای نظیر به نظیر دارای حجم ترافیکی کمتری نسبت به برنامههای نظیر به نظیر مورد استفاده کاربران در سطح اینترنت میباشند و از سوی دیگر به دلیل اینکه باتنتها به صورت دورهای در بازههای زمانی خاصی ارتباط دارند، بنابراین دارای طول مدت ارتباط بیشتری نسبت به برنامههای اشتراک فایل هستند. Peershark از چهار ویژگی زیر برای تشخیص باتنتهای نظیر به نظیر استفاده میکند.

1.    طول مدت ارتباط

2.    میزان بایتهای ارسالی و دریافتی در هر ارتباط

3.    تعداد بستههای مبادله شده در هر ارتباط

4.    میانگین فاصله زمانی بستهها

همچنین در این مقاله از روشهای طبقهبندی با استفاده از ابزار Weka استفاده شدهاست. این روش اگرچه دارای ویژگیهای مؤثر در تشخیص باتنت است اما به دلیل وابستگی به طول مدت ارتباط، نیاز به مدت زمان زیادی برای تشخیص دارد که از معایب این روش به حساب میآید.

 -3 باتنتهای نظیر به نظیر و سیستمهای ایمنی مصنوعی

-1-3 ساختار نظیر به نظیر باتنتها

قدیمیترین نوع ساختار فرمان و کنترل باتنتها، مدل متمرکز است. در این مدل، یک نقطهی مرکزی مسئول تبادل فرامین دادهها بین مدیربات و بات میباشد. به علت ایراد اصلی مدل متمرکز - که ناشی از فرمان و کنترل مرکزی آنها میباشد - ، مهاجمان شروع به ساخت سیستم ارتباطی جایگزینی برای باتنت کردند که سختتر قابل تشخیص و از بین بردن باشد. در نهایت، مهاجمان از ایدهی ارتباطی نظیر به نظیر به عنوان یک الگوی فرمان و کنترل سوءاستفاده کردند که در برابر خرابیهای شبکه بسیار مقاومتر است.

در مدل نظیر به نظیر، همانطور که در شکل - 1 - نشان دادهشده است، هیچ نقطهی مرکزی برای ارتباط وجود ندارد. هر بات چند اتصال با دیگر باتهای باتنت را نگه میدارد. باتها، هم نقش متقاضی و هم نقش سرویسدهنده را بازی میکنند. یک بات جدید، باید آدرس بعضی از باتها را برای اتصال به باتنت بداند. اگر برخی از باتها در باتنت غیر برخط شوند، باتنت هنوز میتواند بر فعالیت خود تحت کنترل مدیر بات ادامه دهد.

شکل : - 1 - نمونهای از باتنتهای نظیر به نظیر

-2-3 مفاهیم سیستمهای ایمنی مصنوعی

سیستمهای ایمنی مصنوعی7 با بهرهگیری از دانش موجود در زمینه روش کار سیستم ایمنی بدن مهرهداران طراحی شدهاند. سیستم ایمنی مصنوعی یکی از جدیدترین روشهای رایانشنرم میباشد. واژه سیستمهای ایمنی مصنوعی برای اولین بار در اوایل دهه 90 در مقالات بکار رفت اما تا سال 2000 تنها الگوریتم کاربردی موجود در این زمینه الگوریتم انتخاب معکوس Forest و همکارانش بود.

یک عامل بیماریزا از بخشهای مختلفی تشکیل شده است؛ یکی از این بخشهایی که در سطح خارجی عامل بیماریزا قرار دارد؛ آنتیژن نام دارد. سلولهای سیستم ایمنی برای شناسایی یک عامل بیماریزا، باید آنتیژن آن را تشخیص دهند. پس از اینکه سیستم ایمنی یک عامل بیماریزا را شناسایی کرد، سلسله اقداماتی برای نابودکردن آن عامل بیماریزا آغاز میگردد که به این اقدامات پاسخ ایمنی گفته میشود.

شناسایی آنتیژنها بر عهده نوعی از گلبولهای سفید خون به نام لنفوسیت میباشد. دو نوع از لنفوسیتها که در اینجا موضوع بحث ما هستند عبارتند از سلول B و سلول.[9] T

-1-2-3 لنفوسیتهای نوع B

لنفوسیتهای نوع B و یا سلول B از سلولهای بنیادی، در مغز استخوان تولید میشوند. به هر سلول B تعدادی گیرنده سلولی BCR یا پادتن - آنتیبادی - 8 یک شکل متصل است که وظیفه شناسایی آنتیژن را بر عهده دارد. در شکل - 2 - نمایی از سلول نوع B نشان داده شده است.

شکل : - 2 - سلول B و پادتن - آنتی بادی - [10]

-2-2-3 لنفوسیتهای نوع T

یکی از چالشهای سیستم ایمنی تشخیص سلولهای بدن یا سلولهای خودی از عوامل بیماریزا است. زیرا در سطح خارجی سلولهای خودی نیز آنتیژن9 وجود دارد. به همین دلیل باید راهکاری نیز برای تشخیص آنتیژنهای سلولهای خودی که به آنها آنتیژنهای خودی گفته میشود، از آنتیژن عامل بیماریزا که به آنها آنتیژنهای غیرخودی گفته میشود وجود داشتهباشد. این وظیفه در سیستم ایمنی به عهده لنفوسیتهای نوع T میباشد.

-4 روش پیشنهادی

ایده اصلی که در این قسمت به تشریح آن پرداخته شدهاست، ارائه یک سیستم پیشنهادی تشخیص بدون نظارت باتنتهای نظیر به نظیر با استفاده از سیستمهای ایمنی مصنوعی به نام UPBD AIS10 است که توانایی تشخیص گروهی از میزبانهای آلوده که بصورت دزدی در شبکه حضور دارند، را دارد.

در ادامه، ابتدا به بیان مسأله و فرضیات آن پرداخته و سپس مراحل آن شرح داده میشود.

-1-4 بیان مسأله و فرضیات

تعریف - 1 باتنت. هر باتنت یک گروه هماهنگ از باتهایی است که از طریق کانالهای فرمان و کنترل هدایت شده و فعالیتهای بدخواهانهای را انجام میدهند.

تعریف - 2 سیستمهای ایمنی مصنوعی. به مجموعهای از تکنیکها و مدلهایی گفته میشود که سعی دارند تا رفتار سیستم ایمنی طبیعی بدن انسان را تقلید کنند. این تکنیکهامعمولاً برای عیبیابی، تشخیص بدرفتاری، تشخیص نفوذ و تشخیص الگو به کار گرفته میشوند.