بخشی از مقاله
چکیده
با توجه به استفاده روزافزون از اینترنت و گستردگی این فضا، متناسب با نفوذ اینترنت در شبکههای امروزی الزاماتی را جهت حفظ امنیت این شبکه میطلبد. باتنت شامل شبکهای از کامپیوترهای آلوده و متصل به اینترنت میباشند که از راه دور توسط فرد حمله کننده کنترل میشوند که یکی از گستردهترین و خطرناکترین مشکلات در اینترنت میباشند، چرا که از آنها برای اجرای فعالیتهای مخرب همچون حملات DDOS - حملات منع سرویس توزیع شده - ، فیشینگ و ارسال اسپم در کشورهای مختلف در سراسر جهان به طور مخفیانه به کار گرفته میشوند. این تحقیق در جهت شناسایی سیستمهای آلوده استفاده میشود که با بررسی ویژگیهای یک ارتباط در شبکه - Netflow data - انجام شده است.
هدف اصلی ما شناسایی و دستهبندی آنها بر اساس شباهتهایشان میباشد. از الگوریتم PACF برای شنا سایی دوره تناوب و Purity به عنوان یک معیار در ست برای د ستهبندی اطلاعات ا ستفاده میکنیم. به کارگیری ویژگیهای ارتباط باعث می شود که قادر به ت شخیص ترافیکهای رمزگذاری شده نیز با شیم. همچنین این تحقیق بعد از برر سی پژوهشهای انجام شده، رو شی برای ک شف شبکههای بات با ا ستفاده الگوریتم بهینه سازی فاخته ارائه داده ا ست. در این روش ابتدا ترافیک ارتباطی و حملات مشابه خوشهبندی شده و سپس یک همبستگی بین خوشهای انجام میشود. این پیادهسازی در محیط MATLAB انجام شده است.
-1 مقدمه
امروزه اینترنت بیشازپیش با زندگی ان سان عجین گ شته به طوری که جز لاینفک زندگی انسان است. به این دلیل، بروز هرگونه اختلالی در آن اثرات جدی به جای خواهد گذاشت. متاسفانه درطراحی اینترنت بی شتر به بازبودن و مقیاسپذیری این شبکه اهمیت داده شده و کمتر به مسائل امنیتی توجه شده است. از این رو، به موازات گسترش سریع این شبکه در طی دهههای گذشته تهدیدها و حملات در فضای مجازی گستردهتر شده و ساختار آنها از حملاتی متمرکز به حملاتی توزیعشده تغییر یافته است. در حملات متمرکز، هکر نقاط آسیب پذیر دستگاه قربانی را پیدا کرده و اقدام به حمله مینماید. در نوع حملات توزیع شده فرد حمله کننده با کنترل رایانههای مختلف در نقاط دور اقدام به ارسال درخواستهای زیادی به هدف خود میکند.
این درخواستها چون یک شکل طبیعی دارند توسط سیستمهای شناسایی تشخیص داده نمیشوند، با توجه به حجم اسالی درخواستها، سرور یا سیستم هدف درگیر پاسخ دادن به آن شده و از سرویس دهی به سایر درخوا ستهایی که به صورت واقعی ار سال می شوند، نی ست. همچنین امروزه با توجه به اینکه تعداد دستگاههایی که متصل به اینترنت هستند رو به افزایش میباشد، حفظ امنیت آنها رکن اساسی این نوع شبکهها به شمار میآید.
با توجه به این که این حملهها در مقیاس بزرگ، در نقاط مختلف و به صورت مخفیانه انجام می شود، میتواند نشان دهنده اهمیت و ابعاد خرابکارانهی آن چه در سطح سازمانی و چه امنیت ملی باشد. امروزه این نوح حمله، نه تنها افکار مخرب فردی و گروهی را در ذهن دارد، بلکه اهدافی سیاسی و حمایتهای مخرب بعضی از کشورها را به دنبال دارد، شاید مهمترین عامل این حمایتها، پنهان بودن هویت کنترل کننده این نوع حملهها باشد. به همین دلیل کانون مورد توجه بسیاری از مجرمان سایبری میباشد. منع سرویس توزیع شده و همچنین موارد خرابکارانه دیگری مانند ارسال هرزنامه، فیشینگ، کلاهبرداری کلیک، سرقت اطلاعات محرمانه، دستکاری نظرسنجیهای اجتماعی، استفاده از منابع سیستمهای آلوده جهت پردازش و اخاذی با استفاده از ساختار و تواناییهای شبکههای بات صورت میپذیرد.
یک راهکار دفاعی خوب ابتدا با شناسایی سریع حمله در سمت کارگزار قربانی و سپس ردیابی حمله کنندهها و در نهایت پس از ردیابی، اعمال محدودیت و کاهش نرخ ارسال ترافیک حمله میباشد که قادر به مقابله با حملات منع خدمت توزیع شده خواهد بود .[1] بات بدافزاری است که رفتارهای بدخواهانه خود را بنابر در یافت دستورهایی که توسط یک عنصر مرکزی فرستاده شدهاند به انجام میرساند. بدافزار نرمافزاری است که انگیزه تولید آن رخنه، تغییر و یا تخریب نرمافزارهای دیگر بدون اطلاع و خواست کاربر آنها است. به مجموعهای از باتها که با هم هماهنگ شدهاند و توسط یک فرماندهی واحد - بات مستر - هدایت میشوند، شبکهی بات میگویند.
به ع بارت دیگر بات ها به صورت کد های مخرب اجرایی بر روی کامپیوترهای میزبان می باشند که به باتمسترها امکان کنترل کامپیوترهای میزبان از راه دور و انجام اقدامات مختلف را فراهم میکند. آنچه میتواند بات را به عنوان یک بدافزار ازسایر گونههای بدافزارها متمایز کند هماهنگی باتها و د ستورپذیری آنها از یک عن صر یک سان ا ست. از دیگر تهدیداتی که میتواند تو سط شبکههای بات ایجاد گردد کلاهبرداری کلیک، سرقت اطلاعات، دستکاری نظرسنجیهای اجتماعی، مصرف منابع رایانههای آلوده به باتبه طور مثال اخیراً استفاده از منابع بات جهت پردازش و استخراج بیت کوین، ارسال هرزنامه و همچنین آلوده نمودن رایانههای دیگر و گسترش در شبکه است.
رایانهای قربانی عموماً از طریق شبکههای به اشتراکگذاری فایل، شبکههای P2P ، ال صاقهای ایمل و م شاهده وب سایتهای مخرب، آلوده میشوند گستردگی شبکههای بات و حضور تعداد زیادی از رایانههای آلوده، علت ا صلی خطرناک بودن شبکهها ا ست. در نتیجه حمله کننده میتواند از پهنای باند، قدرت ذخیرهسازی و پردازش تعداد زیادی از رایانهها بهره بگیرد و به همان نسبت تهدید بزرگتری ایجاد کند، با توجه به اهمیت موضوع باتنت امروزه بیش از پیش ضرورت ایجاد سامانهای برای کشف را یانه های آلوده به بات مورد توجه قرار گرفته است.
گستردگی تهدیدهای ناشی از شبکههای بات لزوم شناسایی سریع این شبکهها را واضح میسازد چراکه در صورت شناسایی سریع، میتوان از عملی شدن این تهدیدها پی شگیری نمود. همچنین در صورتیکه امکان شنا سایی سریع میسر نگردد میتوان با پاکسازی رایانههای آلوده به بدافزار بات و یا مقابله با یک حمله در حین رخدادن آن به یک سطحی از سودمندی رسید. از نظر تاریخی، باتنتها از IRC که یک سی ستم چت متنی بوده و به سازماندهی ارتباط در شبکهها میپردازد، سرچشمه گرفتهاند و مفهوم باتها لزوما شامل یک رفتار خطرناک نمیبا شد. ایده ا صلی باتنتها، کنترل اثرات متقابل در چت رومهای IRC بوده است.
آنها قادر به تف سیر د ستورات ساده، ارائه پ شتیبانی اجرایی، ارائه بازیهای ساده و دیگر خدمات به کاربران چت و اطلاعات بازیابی در مورد سیستمهای عملیاتی، لاگینها، آدرسهای ایمیل و غیره میباشند. اولین بات IRC شناخته شده تحت عنوان اگدراپ در سال 1993 منت شر شد [2] و سپس تو سعه یافت. سپس، باتهای IRC مخرب ظهور کردند که با پذیرش یک ایده مشابه ارائه شدهاند و برای هدف اصلی حمله به دیگر کاربران IRC یا حتی سرورهای کلی مورد استفاده قرار گرفتند.
مدتی بعد حملات رد خدمترسانی و سپس رد خدمت رسانی توزیع شده در این باتها اجرا شدند. باتهای جدید توسعه یافته از مکانیزمهای پیچیده برای ارتباط با باتمستر استفاده میکنند و از دیگر پروتکلهای موجود و روشهای جدید، یکپارچه و قدرتمند حمله بهره میگیرند. همه این موارد موجب پی شرفته شدن و قدرت بی شتر باتها شده ا ست. آنها میتوانند مانند حشرات گسترش یابند، به صورت ویروس به صورت ناپدید باقی بمانند و حملات بزرگ و سازمان دهی شده را ارسال کنند. برخی از مثال های این بات ها شامل اگوبات [3] و اسدی بات [4] میبا شد. تو سعه آگوبات و شاخههای آن به عنوان نقطه شروعی تلقی شد به طوری که باتنتها به عنوان تهدید جدی برای اینترنت شناخته شدند .[5]
پس از بررسی دقیق 180 بات نت در طی دوره پنج ما هه، یک تحقیق [6] به برر سی بیش از 300000 آدرس IP منح صربهفرد همراه با حداقل یکی از کانالهای باتنت برر سی شده پرداخته ا ست. مولفین نتیجه گرفتهاند که بیش از یک میلیون ماشین در معرض خطر بوده و توسط باتمسترها از راه دور کنترل شدهاند. در صورتی که یک حملهکننده مشخص یا یک سازمان مجرم به کنترل بیش از یک میلیون دستگاه بپردازد، در این صورت هیچ گونه دفاع کامل و موثری در برابر یک تهاجم از یک باتنت وجود ندارد. این حمله میتواند موجب خرابیهای گستردهای شود که نقش موثری در برنامههای تهاجم بین کشورها داشته و به عنوان یک سلاح تروریستی شناخته میشود.
تاکنون روشهای کشف گوناگونی برای شناسایی باتها ارائه گردیده است که بیشک با توجه به تغییرات و پیشرفتهای روزافزون شبکههای بات، کماکان روشی نتوانسته راه حلی جامع برای این مشکل ارائه نماید .[5] روشهای مبتنی بر شبکه به دو زیر شاخهی تحلیل ترافیک نام دامنه و تحلیل ترافیک اصلی تقسیم میشوند. روشهای تحلیل ترافیک نام دامنه خود را به ترافیک با حجم پایین مربوط به حل و فصل نامهای دامنه محدود کرده و تلاش میکنند رفتارهای گروهی در این ترافیک را ببینند.
به دلیل حجم کم ترافیک نام دامنه این روش نسبت به ترافیک اصلی از مقیاسپذیری بیشتری برخوردار است . افزون بر این باتهایی که از شار IP بهره میبرند هر چند در ترافیک ا صلی رفتار گروهی آنها مخفیتر با شد ولی در ترافیک نام دامنه همچنان واضح هستند. بویژه در صورت رمزنگاری ترافیک، این تشخیص در ترافیک اصلی دشوارتر خواهد شد. مهمترین مزیت این روش ها به کارگیری تراف یک نام دامنه برای تشخیص کارگزارهای د ستوروکنترل، امکان ک شف کارگزارهای د ستور و کنترل مخفی شده بوسیلهی شار سریع IP است.
مرجع [6] تنها از دید یک میزبان نهایی و با ارسال درخواستهای حل و فصل نامهای دامنه مشکوک که از طریق دیگر همچون آدرسهای موجود در هرزنامه تامین می شود استفاده میکند و آدرسهای مختلف IP را که با نامهای دامنه مشکوک نگاشت میشوند میباید، بر این مبنا ویژگیهای مختلف از قبیل طول عمر نام دامنه و پاسخهای حل و فصل آن و یا شبکههای مختلف نگا شت شده از آن ا ستخراج شده. نامهای دامنه بر این مبنا به دو خو شهی سالم و بدخواهانه تق سیم می شود.
در این روش 110 بات در شبکهی مذکور در طی یک شبانه روز دیده شدهاند. ازاینرو با حل و فصل نامهای دامنهی مشکوک میتوان به آدرس اینترنتی باتها هم دست یافت. روش [7] بهبود یافتهی روش باتگد [8] است. این روش بر این فرضیه استوار است که باتها به صورت گروهی و پریودیک و شبیه به همدیگر رفتار میکنند در حالی که گروههای عادی کاربری به شکل نامنظم و ناهم سان رفتار میکنند. در این تحقیق با مشاهدهی ترافیک نام دامنه ویژگیهایی استخراج میشود که در شبکههای بات دارای شار سریع IP و همچنین شبکههای باتای که در آن نام دامنهی کارگزار دستور و کنترل به کمک یک الگوریتم تولید نام دامنه تغییر میکند، مشاهده میشوند.
ویژگیهایی همچون تعداد کل IP های یکتایی که در درخواستهای مختلف برگردانده میشود، طول عمر پاسخ برگردانده شده، تعداد کارگزارهای نام دامنه که برگردانده شده است وغیره. همچنین از لحاظ واژگان شناسی دامنههای درخواستی بررسی میشوند. بر اساس درخوا ستهای میزبانها برای حل و ف صل نام آن دامنه در هر پنجرهی زمانی شکل میگیرد. بر اساس ویژگیهای استخراج شده از ترافیک نام دامنه خو شه بندی صورت میگیرد و دامنههای مت شابه در یک خو شه قرار میگیرند. به ازای دامنههایی که در یک خوشه قرار دارند ماتریس متناظر با آن شکل میگیرد سپس از روی این ماتریس وجود رفتار گروهی و پریودیک در میزبانها بررسی میشود و درنتیجه، بدین شکل باتها شناسایی میشوند.
روشهای تحلیل ترافیک ا صلی با م شاهده ترافیک ا صلی شبکه یعنی همهی ترافیک شبکه که به ترافیک کارگزار نام دامنه محدود نشده ا ست ن شانههای رفتار باتها را مییابند. این راه حلها خود از دو بخش ت شکیل می شوند یکی روشهای مبتنی بر ام ضا که ابتدا ام ضای باتها را دریافت کرده و سپس با قیاس امضاها با ترافیک شبکه باتها را پیدا میکنند. دستهی دیگر روشهای مبتنی بر رفتار و الگوهای ترافیکی هستند که برخلاف دستهی پیشین کارکرد آنها به دانش پیشین وابسته نبوده و با یافتن الگوهای مشکوک در ترافیک شبکه باتها را تمیز میدهند.
روش "ریشی" یکی از روشهای معروف دستهی اول است این روش خاص پروتکل IRC بوده و باتها را از روی فرنام آنها تشخیص میدهد بنابراین نیازمند شنا سایی ام ضای فرنامهای باتها ا ست که با انت خاب نام معمولیتر توسط بات ها میزان موفق یت آن هم کاهش می یا بد. افزون بر این، روش مذکور تن ها برای پروت کل IRC کاربرد دارد .[9] روش بات هانتر [10] از یک مدل که مربوط به نحوهی آلوده شدن میزبانها و انتشار بدافزار بات است، بهره میگیرد. این روش با استفاده از این مدل و بررسی همبستگی میان پیغامهای هشدار مربوط به پویش میزبانهای داخل شبکه از بیرون و پویش آدرسهای بیرون شبکه تو سط میزبانهای داخل شبکه، باتها را شنا سایی میکند. بهرهبردن از یک مدل برای شناسایی بدافزارها میزان تشخیص غلط را کاهش میدهد اما بدافزارهایی که از آن مدل پیروی نمیکنند، شناسایی نمیشوند.
روش باتاسنیفر [11] با بررسی و آنالیز رفتار گروهی میزبانها در پنجرههای زمانی مختلف، باتها را شنا سایی میکند . این روش محدود به شناسایی باتها با ساختار شبکهای متمرکز است. روشی قابل قبول روشی است که مستقل ازطراحی باتها و پروتکلهای مورد بهرهگیری در شبکههای بات فعلی عمل نماید. چراکه اگر روش به یک ساختار و پروتکل خاص محدود گردد حمله کننده به راحتی میتواند با سفار شی نمودن و ایجاد یک پروتکل جدید و یا روی آوردن به یک ساختار جدید و حتی رمز نمودن ارتباط، آن روش را نقض نماید.
روش باتماینر [12] که در دستهی دوم از روشهای تحلیل ترافیک اصلی جای دارد، مستقل ازطراحی باتها و پروتکلهای مورد بهرهگیری در شبکههای بات فعلی، سعی میکند تا با مشاهدهی ترافیک میزبانها ویژگیهایی را استخراج کند، ویژگیهایی همچون تعداد کل بایتهایی که توسط میزبان ارسال و دریافت شده است و تعداد کل بستههایی که توسط میزبان ارسال و دریافت شده است. سپس میزبانها را بر اساس این ویژگیها خوشهبندی میکند. افزون بر این، میزبانها بر اساس فعال یت های بدخواهانهای که از خود بروز دادهاند نیز خوشهبندی می شوند. بر اساس همبستگی بین خوشهها باتها شناسایی میشوند. این روش باتها را به صورت برخط شنا سایی نمیکند. در نتیجه، قادر به شناسایی سریع باتها نیست.
