یک سیستم مبتنی بر شهرت برای تشخیص برخط بات نت ها با استفاده از ترافیک dns

امروزه بات نت ها یکی از مهم ترین تهدیدها در برابر زیرساخت اینترنت شناخته می شوند. هر بات نت گروهی از میزبان هایی است که با کد مخرب یکسانی آلوده شده و از طریق یک یا چند سرویس دهنده فرمان و کنترل توسط مهاجم از راه دور هدایت می شوند. از آنجایی که سرویس dns یکی از مهم ترین سرویس ها در شبکه اینترنت است، مهاجمین از آن جهت مقاو سازی بات نت خود استفاده می کنند. تغییر پی در پی نام دامنه و تغییر پی در پی آدرس ip دو تکنیکی است که مهاجمین با استفاده از سرویس dns پیاده سازی می کنند. این تکنیک ها به مهاجم کمک می کنند تا مکان سرویس دهنده های فرمان و کنترل خود را به صورت دوره ای و پویا تغییر داده و از قرار گرفتن آدرس های آن ها در فهرست های سیاه جلوگیری کنند. در این پایان نامه، یک سیستم مبتنی بر شهرت برای تشخیص برخط بات نت هایی پیشنهاد می شود که از سرویس dns در مراحل مختلف از چرخه حیات خود به منظور برقراری ارتباط بین میزبان های آلوده به بات و سرویس دهنده فرمان و کنترل استفاده می کنند. در روش پیشنهادی، در پایان هر پنجره زمانی، ابتدا پرس و جوهای dns با ویژگی های مشابه با استفاده از یک الگوریتم خوشه بندی انتخاب شده و در خوشه های جداگا نه ای قرار می گیرند. سپس میزبان های مشکوک شناسایی شده و به ماتریس فعالیت های گروهی مشکوک اضافه می شوند. همچنین، میزبان هایی که تعداد شکست ها در پرس و جوهای dns آن ها از یک آستانه مشخص عبور کند به ماتریس شکست های مشکوک اضافه می شوند. در نهایت، شهرت منفی میزبان ها در این دو ماتریس محاسبه شده و میزبان هایی که شهرت منفی بالایی دارند به عنوان میزبان های آلوده به بات گزارش می شوند. نتایج آزمایش های انجام شده نشان می دهد که روش پیشنهادی قادر است بات نت هایی که از پرس و جوهای dns در مراحل مختلف چرخه حیات خود استفاده می کنند را با دقت بالا و نرخ هشدار نادرست پایین تشخیص دهد.