مدل سازی انتشار و تشخیص کرم اینترنتی استتار شده ناهمپوشان (کاترپیلار)

بدافزارهای خود انتشار که به کرم های کامپیوتری معروفند، حمله های مخربی را روی شبکه های کامپیوتری به راه می اندازند. در این پژوهش، یک کرم اینترنتی هوشمند به نام کاترپیلار معرفی می شود. که مصالحه مناسبی بین مخفی ماندن و سرعت انتشار در شبکه برقرار می کند. این کرم، دارای ویژگی های استتارشدگی و ناهمپوشانی است. هدف از ویژگی استتارشدگی پویش کنترل شده میزبان های قربانی است به گونه ای که کل حجم ترافیک پویش از آستانه تشخیص سیستم های ناظر تهدید اینترنت کمتر باشد و هدف از ویژگی ناهمپوشانی پویش بهینه میزبان های قربانی است به طوری که هر میزبان قربانی بیش از یک بار پویش نشود. برای شناسایی مشخصه های انتشار این کرم اینترنتی، مدلی ریاضی مبتنی بر مدل sir پیشنهاد شد. زیرا مدل های استاندارد از قبیل siو sir نمی توانند این نوع از کرم ها را به صورت دقیق تر مدل کنند. با انجام آزمایش های مختلف نشان داده شد که این کرم سرعت مناسبی دارد همچنین با مقایسه سه مدل si، sir و مدل ارائه شده دریافیم که مدل های قبلی به دلیل رشد توانی و در نظر گرفتن پویش تصادفی قادر به مدل سازی این نوع کرم نیستند. همچنین در این پژوهش، روشی جهت تشخیص این نوع کرم ها ارائه می شود، در روش پیشنهادی، مجموعه ای از بردارهای خصیصه برای هر میزبان استخراج می شود. در نهایت، بردارهای خصیصه میزبان های مختلف به عنوان ورودی به ماشین بردار پشتیبان تک کلاسی داده شده و مدلی برای ترافیک ایجاد می شود. سپس براساس مدل یاد گرفته شده میزبان های مشکوک در هر درگاه شناسایی شده و در صورتی که تعداد میزبان های مشکوک هر درگاه از آستانه تعیین شده برای آن درگاه بیشتر شود هشدار وجود کرم اعلام می شود. روش پیشنهادی قادر به تشخیص همه ترافیک های پویش کرمی استفاده شده در این پژوهش با نرخ هشدار نادرست 4.1 درصد است. همچنین این روش قادر به شناسایی میزبان های آلوده است که روش های مشابه فاقد این ویژگی هستند.