پایان نامه ارائه یک روش تشخیص بات نت های نظیر به نظیر (P2P) مبتنی بر تشابه خوشه ای

پایان نامه جهت اخذ درجه کارشناسی ارشد (M.S.c)

رشته: کامپیوتر             گرایش:  نرم افزار

چکیده

امروزه استفاده از بات نت ها به عنوان ابزاری جهت فعالیت های مجرمانه با وسعت زیاد در شبکه های کامپیوتری علیه اهداف وسیع مانند یک کشور بسیار افزایش یافته است. بات محیط توزیع شده ای است که از آن، جهت حملات مختلف با حجم وسیع استفاده می شود.از این جهت امروزه تشخیص این نوع حملات به عنوان یکی از مسائل مهم در امنیت شبکه های کامپیوتری و کاربران اینترنت مطرح شده است .با پیشرفت پهنای باند شبکه ها و قدرت محاسبات ماشین ها ، امروزه محاسبات توزیع شده به وفور مورد استفاده قرار می گیرد. در این راستا هکرها هم از این مفهوم برای انجام حملات قدرتمندتری استفاده می کنند. بات نت ها نمونه عملی این نوع حملات هستند که معمولا اهداف مالی را دنبال می کنند . به این نوع بد افزارها ربات یا بطور کوتاه شده بات  می گویند. این نامگذاری از رفتار اتوماتیک آنها سرچشمه می گیرد . در این تحقیق واژه بات نت و تکنیک های تشخیص بات نت  از جمله تفسیر بسته ها از مجموعه داده ها، فیلتر اولیه داده ها و خوشه بندی  مورد بررسی قرار می گیرد.

کلمات کلیدی : بات نت، امنیت شبکه، امنیت اینترنت، خوشه بندی، شبکه های کامپیوتری

فصل اول

تعاریف  و کلیات

1-1-    مقدمه

با گسترش فضا های مجازی و توسعه شبکه های وسیع ، همواره بحث امنیت[1] و حفاظت از اطلاعات و برنامه های مهم همواره مورد نظر مدیران ارشد فناوری اطلاعات بوده است . امنیت شبکه[2] و
امنیت اطلاعات[3] دو  اصطلاحی هستند که بسیار از آنها در حوزه فناوری اطلاعات استفاده میشود .
 با توسعه و گسترش اینترنت و فضای مجازی در محیط وب ، اطلاعات به سرعت افزایش یافته و دسترسی های کاربران نیز زیادترشده است . از همین رو ، توجه به امنیت شبکه یکی از ضرورت های نوین محیط های پیوسته و فضای مجازی است . امنیت شبکه ، صیانت از اطلاعات سازمان ها و موسسات را در برابر نفوذگران تامین می‌کند و شرایط مناسبی برای خدمت و فعالیت حرفه ای ایجاد می‌کند . فناوری اطلاعات بر اساس بستری از زیرساخت های فنی ، ابزارها ، نرم افزارها ، شبکه ها و خطوط پرسرعت مخابراتی به فعالیت خود می پردازد و همه آنها نیازمند وجود شرایط ایمن برای پشتیبانی از فعالیت های حرفه ای هستند .

در مباحث مربوط به امنیت شبکه شناسایی واحدهایی که باید از آنها حفاظت شود یکی از زمینه های مهم برقراری امنیت به شمار میرود . علاوه بر آن باید مشخص ساخت که در ارتباط با چه مواردی باید از سیستم ها و واحدها حفاظت کرد . این نکته در بررسی وضعیت شبکه های اطلاعاتی و
 حوزه های فناوری از اهمیت بالایی برخوردار است و نیاز است تا در برنامه ریزی برای امنیت شبکه مورد توجه قرار گیرد . شناسایی انواع تهدیدها[4] و خطرهای پیشرو نیز عامل مهم دیگری است که میتوان در زمینه حفاظت از محیط شبکه های سازمانی از آن به نحوی مناسب استفاده کرد تا آمادگی لازم برای مقابله با خطرات احتمالی مهیا شود .

  انواع شبکه ها و سیستم های اطلاعاتی وجود دارد که هر یک وظیفه و کارکردی مشخص برعهده دارند . شبکه های رایانه ای فرایند ارتباط را تسهیل می سازند و به یاری مدیران و کاربران سازمانی میآیند تا وظایف محوله را پشتیبانی کنند . بنابراین تامین امنیت شبکه ها از جمله مسائل ضروری و مهم سازمانهاست .

 پس جلوگیری از نفوذ عوامل مخرب در شبکه بصورت مسئله‌ای استراتژیک درخواهد آمد که نپرداختن به آن باعث ایراد خساراتی خواهد شد که بعضاً جبران‌ناپذیر خواهد بود  و مزیت های فراوان شبکه  نیز به خوبی حاصل نخواهد شد و پول ، تجارت الکترونیک[5] ، خدمات به کاربران خاص ، اطلاعات شخصی[6] ، اطلاعاتی عمومی[7] و نشریات الکترونیک[8] همه و همه در معرض دستکاری[9] و سوءاستفاده ‌های مادی و معنوی[10] قرار خواهند گرفت .

 امروزه استفاده از بات نت ها[11] به عنوان ابزاری جهت فعالیت های مجرمانه ای[12] با وسعت زیاد در شبکه های کامپیوتری علیه اهداف وسیعی مانند یک کشور ،  بسیار افزایش یافته است . بات محیط توزیع شده ای[13] است که  از آن برای حملات مختلف با حجم گسترده استفاده می شود ، از این جهت امروزه تشخیص این نوع حملات[14] به عنوان یکی از مسائل مهم در امنیت شبکه های کامپیوتری مطرح شده است.

در سال های اخیر بدافزار های اینترنت به سمت سازماندهی بهتر و سود محوری بیشتر رشد کردند. امروزه بات نت ها به عنوان مهمترین تهدید برای کاربران اینترنت به حساب می آیند .

مهاجمین ، پس از تصرف سیستم های آسیب پذیر قربانیان ، نرم افزارهای مخرب[15] خود را که از راه دور[16] قابل هدایت هستند بر روی آن سیستم ها نصب کرده و سپس می توانند با استفاده از این قربانیان ، حملات اینترنتی[17] مختلفی از قبیل ارسال هرزنامه [18]، حملات جلوگیری از سرویس توزیع شده[19] ، سرقت هویت و سایر فعالیت های مجرمانه را در مقیاس بسیار بزرگ اجرا نمایند ، در حالی که هویت اصلی فرد مهاجم مخفی باقی میماند .

 مشکل اصلی در مورد بات نت ها انجام این اعمال به صورت پنهانی است ، یعنی تا زمانی که به طور خاص به دنبال آن ها نباشیم ، از حضورشان در سیستم بی اطلاع خواهیم بود و تا زمانیکه در سیستم قربانی باقی بمانند ، سیستم قربانی قادر به مقاومت در مقابل عدم اجرای دستورات مالک بات نت[20] نخواهد بود.

با پیشرفت پهنای باند[21] شبکه ها و قدرت محاسبات ماشین ها ، امروزه محاسبات توزیع شده[22] به وفور مورد استفاده قرار می گیرد . در این راستا هکرها[23] هم از این مفهوم برای انجام حملات قدرتمندتری استفاده می کنند .

بات نت ها نمونه عملی این نوع حملات هستند . بات نت مجموعه ای از ماشین های آلوده در سطح اینترنت می باشد که توسط مهاجمین برای انجام دادن فعالیت های بدخواهانه[24] و غیر قانونی[25] از را دور کنترل می شوند .

به آنها ربات[26] یا بطور کوتاه شده بات[27] می گویند و این نامگذاری از رفتار اتوماتیک آنها سرچشمه می گیرد . بر خلاف کرم ها[28] و ویروس ها[29] که اهداف خرابکارانه[30] دارند ، هدف از بکارگیری
 بات نت ها توسط کنترل کننده های[31] آنان معمولا مالی[32] می باشد .

1-2-    اهمیت و ضرورت انجام تحقیق

بنابر بررسی های انجام شده توسط شرکت امنیتی  Marshal، هر سیستم آلوده بات نت 600000 هرزنامه[33] در روز ارسال می کند. بات نت های Xarvester و Rustock قوی ترین منتشر کنندگان هرزنامه در دنیا هستند و قادر به ارسال 25000پیام در هر ساعت ، 600000 پیام در هر روز و 4.2 میلیون پیام در هر هفته هستند، که تنها همین موضوع ضرورت بررسی انواع روش های کشف بات نت را ایجاد می کند.

1-3-    جنبه جدید بودن و نوآوری در تحقیق

امروزه بیشترین درآمد هکرها از طریق فروش بات نت هاست .

 همچنین بحث  C&C(Command & Control) و چرخه حیات[34] بات نت این موضوع را از دیگر مباحث بدافزارها متمایز می کند.

این پایان نامه شامل 5 فصل می باشد که در فصل اول به معرفی تعاریف موضوع پرداخته شده است. در فصل دوم به بررسی مطالعات پیشین در موضوع تشخیص بات نت پرداخته است. فصل سوم روش پیشنهادی بیان شده است و نهایتاً در فصل پنجم  نتیجه گیری انجام شده است.

فصل دوم

مرور مطالعات پیشین

2-1-    مقدمه

با توجه به اینکه در سال های اخیر بد افزارهای اینترنت به سمت سازماندهی بهتر و سود محوری بیشتر رشد کردند ، امروزه بات نت ها به عنوان مهمترین تهدید برای کاربران اینترنت به حساب می آیند.

به همین علت پژوهش های متعددی در حوزه تشخیص بات نت ها انجام شده است .

2-2-       معیار های تشخیص[35]

تشخیص بات نت معیار های متفاوتی دارد که در زیر به چند نمونه آن اشاره می شود .

اگر روشی قادر به تشخیص بات نت ها در مراحل آغازین از چرخه حیات آن ها (مراحل شکل گیری و فرمان و کنترل) باشد ، می تواند آن ها را قبل از مشارکت در یک حمله سایبری[36] از کار بیاندازد. در مقابل، روشهایی که بات نت ها را در مرحله حمله از چرخه حیات آن ها تشخیص می دهند از دقت بالاتری برخوردار هستند.

2-3-       سطوح تشخیص[37]

در سوی دیگر، روش های تشخیص بات نت می توانند دو سطح مختلف از تحلیل همبستگی شامل سطح انفرادی[38] و سطح گروهی[39] را به کار گیرند.

در تحلیل سطح انفرادی ، تمرکز روش های تشخیص بات نت بر روی شناسایی هر میزبان[40] آلوده به بات به صورت انفرادی در شبکه می باشد ، بدون این که به رفتار میزبان های آلوده به بات دیگر توجه نماید. این روش ها دارای این مزیت هستند که قادرند حتی یک میزبان آلوده به بات را در شبکه تحت نظارت و تشخیص دهند . تحلیل سطح انفرادی معمولاً از طریق انطباق فعالیت های مشاهده شده با الگوهای شناخته شده[41] موجود در پایگاه داده[42] انجام می شود . بنابراین نیاز به دانش قبلی[43] از بات نت ها دارد.

2-4-      سطح گروهی

در تحلیل سطح گروهی، روش های تشخیص بات نت تلاش می کنند تا دو و یا چندین میزبان که دارای الگوی رفتاری مشابه[44] هستند را شناسایی کرده و آن ها را به عنوان میزبان های مشکوک[45] به بات تشخیص دهند.  روش های با تحلیل سطح گروهی به طور کلی نسبت به روش های با تحلیل سطح انفرادی ، دقیق تر عمل می کنند، زیرا از چندین منبع اطلاعاتی[46] برای تشخیص استفاده می کنند.  در مقابل ، رو شهایی که از تحلیل سطح گروهی بهره میگیرند تنها قادر به تشخیص بات های عضو یک بات نت در شبکه تحت نظارت هستند.

حال با توجه به اطلاعات فوق به بررسی کارهای انجام گرفته در زمینه کشف بات نت ها می پردازیم.
 

Zeng و دیگران روشی ترکیبی بر مبنای مشاهدات در سطح شبکه و میزبان ارائه دادند ، چارجوب کاری آن ها بدین شکل است که ابتدا جریان موجود در شبکه را بررسی و آنالیز[47]
می کند و آنهایی که ترافیک مشابهی[48] دارند را کشف[49] می کنند .[16]

Strayer و دیگران  استفاده از  تکنیک یادگیری ماشین[50] را برای کشف ترافیک IRC آلوده  پیشنهاد کردند . کاری که آن ها انجام دادند در دو لایه خلاصه می شود ، در لایه اول ترافیک IRC و غیر IRC از هم جدا می شوند و سپس بین ترافیک بات نت[51] و ترافیک قانونی[52]IRC تفکیک انجام می شود . [7]

T.Ha و دیگران روی kademila ( نوعی بات نت P2P[53] ) تمرکز کردند . آن ها دیدگاه
تازه ای را در رابطه با کشف بات نت ها با استفاده از نقاط استراتژیک بیان کرد.آن ها فاکتور هایی مثل درجه مرکزیت[54] ، درجه تراکم[55] و مرکزیت بردار[56]Eigen و مرکزیت بر پایه مسیریابی[57] معرفی کردند. به عنوان نمونه مرکزیت بردار Eigen می گوید تمامی اتصالات به یک میزبان خاص به اندازه هم مهم نیستند ، بلکه آن هایی مهمتر هستند که به نود های مهمتر در شبکه وصل شده اند . با مشخص شدن این فاکتور ها در شبکه می توان انتخاب های بهتری برای نقاط نظارتی در شبکه انجام داد ، چون همانطور که قبلا نیز گفته شد امکان نظارت بر کل شبکه وجود ندارد . همچنین می توان نقاط گلوگاه را که در حیات شبکه بات ها تأثیر بسزایی دارد را تعیین کرد . [5]

Choi و همکاران یک روش برخط غیرنظارتی برای تشخیص بات نت ها با نام  BotGAD
 پیشنهاد کرده اند. آن ها در ابتدا یک فعالیت گروهی را به عنوان یک ویژگی کلیدی بات نت تعریف کرده و معیاری برای تشخیص بات نت ها با نظارت بر فعالیت های گروهی در ترافیک  DNS  ارائه کردند .[2]

Wang  و همکاران یک سیستم مبتنی بر رفتار برای تشخیص بات نت ها ارائه کرد هاند که بر اساس تکنیک های بازشناسی الگوی فازی[58] است و از تحلیل سطح انفرادی استفاده می کند.

ایده اصلی روش آن ها بر مبنای شناسایی نام های دامنه[59] و آدرس های IP  بدخواه[60] مورد استفاده توسط  بات نت می باشد که از طریق بازرسی جریان های شبکه حاصل می شوند .

 این روش از سه مرحله کاهش ترافیک ، استخراج ویژگی و بازشناسی الگوی فازی تشکیل شده است . در ابتدا ترافیک شبکه وارد مرحله کاهش ترافیک شده و پس از پالایش به مرحله استخراج ویژگی تحویل داده می شوند . در نهایت ، مرحله بازشناسی الگوی فازی ، فعالیت های مرتبط با
 بات نت را بر اساس تعلق بردارهای ویژگی استخراج شده به چندین تابع عضویت تشخیص می دهند . این توابع عضویت شامل :

 (1) تولید درخواست های DNS  ناموفق

 (2)مشابهت در فاصله های ارسال درخواست های DNS
 (3) تولید اتصالات ناموفق شبکه ای و
 (4) داشتن اندازه بدنه یکسان در اتصالات شبکه ای آن ها می باشند . [12]

 Yahyazadehو همکاران یک روش غیرنظارتی برخط با نام BotOnus برای تشخیص بات نت های مختلف ارائه کرده اند. در این روش در پایان هر دوره زمانی مجموعه ای از بردارهای جریان از ترافیک شبکه استخراج می شود . سپس این بردارهای جریان با استفاده از یک الگوریتم خوشه بندی[61] با شعاع ثابت برخط به تعدادی خوشه تقسیم می شوند . طبق مشاهده  ، آن ها به دلیل این که
 بات های عضو یک بات نت  ، کد دودویی یکسانی را اجرا می کنند ، بردار های جریان تولید شده توسط آن ها از شباهت زیادی نسبت به هم برخوردار هستند.  بنابراین خوشه های تولید شده با استفاده از یک معیار شباهت درون خوشه تحلیل می شوند تا خوشه های حاوی جریان های دنباله ای بات نت شناسایی گردند . [14]

Stinson , Mitchell  روشی را ارائه دادند تحت عنوان Botswat که در آن به جای اینکه به بررسی ترافیک شبکه برای پی بردن به کانال [62]C&C و ارتباطات بات ها بپردازیم به مانیتور[63] و آنالیز تعاملات داخل یک سیستم کامپیوتری توجه می کنیم . کار آنها بر مبنای تفاوت قائل شدن بین برنامه های معمولی که در یک کامپیوتر اجرا می شود و فراخوانی های سیستمی که با پارامترهای آلوده انجام می شود بنا شده است ، که اصولا این پارامترها از طریق شبکه فرستاده می شوند . ویژگی کلیدی که در پیدا کردن بات ها بر آن تاکید داشته اند توجه داشتن به ماهیت کنترل شوندگی بات ها از راه دور است[11]

Shahrestani و دیگران بر رابط کاربری مناسب یک برنامه کشف کننده بات نت تاکید کردند .در این روش علاوه بر مقایسه الگوهای شناخته شده رفتار بات نت ها با ترافیک شبکه برای کشف بات نت ها به صورت خودکار ، مقدار پارامتر های نشان دهنده وجود ترافیک بات نت ها در شبکه هم برای کاربر به صورت بصری[64] نشان داده می شود تا از هوش بشری[65] هم برای همیاری به تشخیص صحیح تر وجود بات نت ها در شبکه استفاده شود . این روش فقط برای نظارت بر شبکه های خیلی کوچک و شبکه های محلی[66] مناسب است . [9]

Yu و دیگران معتقدند که اکثر روش های موجود برای کشف بات نت ها بسیار کند عمل می کنند یا بر اساس داده های جمع آوری شده در گذشته کار می کنند که باعث می شود تا همیشه یه قدم عقب تر از مهاجم باشند و در بسیاری از مواقع اطلاعاتی که بر پایه آن تصمیم گیری می کنند به دلیل تغییر نحوه عملکرد بات نت بلا استفاده باشد .

در مواردی که نیازمندی بلادرنگ[67] وجود دارد پاسخ در کمترین زمان ممکن به بات نت بسیار حائز اهمیت است . در ساختار پیشنهادی Yu ابتدا اطلاعات خام ترافیک شبکه ای برای کاهش فیلتر[68]
می شود یعنی ترافیک هایی که به نظر سالم هستند جدا می شود این قسمت از چارچوب چند لایه ای آن ها قسمت اصلی محسوب می شوند چون حجم بالای ترافیک شبکه را که باعث جلوگیری از عکس العمل بلادرنگ بسیاری از روش های پیشنهادی می شود تقلیل می دهد ، که البته این کار نقاط ضعفی هم دارد ، مثلا اگر ما برای مرحله اول فیلتر کردن لیست سفیدی از ترافیک های بی خطر تهیه کنیم و ترافیک مربوط به فیسبوک هم جزء آن باشد آن وقت ما بات نت جدید Koobface را که بر پایه فیسبوک کار می کند را در دسته ترافیک های قانونی و بی خطر قرار می دهیم در نتیجه این بات سیستم پیشنهادی Yu را دور میزند . [15]

Gu و همکاران یک روش مبتنی بر خوشه بندی برای تشخیص بات نت ها در مرحله حمله ارائه کرده اند. در این روش، ابتدا ترافیک ارتباطی مشابه و ترافیک بدخواهانه مشابه خوشه بندی شده و سپس یک همبستگی بین خوشه ای انجام می شود تا میزبان های دارای هر دو الگوی فعالیت بدخواهانه مشابه شناسایی شوند. روش فوق به صورت غیر بر خط عمل می کند که در سیستم های تشخیص بات نت یک ضعف عمده به شمار می آید. همچنین در صورتی که بات های عضو یک بات نت در مرحله حمله فعالیت بدخواهانه جدیدی را انجام دهند، این روش قادر به تشخیص آن بات نت نخواهد بود.[4]

  Xiaocongو همکاران روشی پیشنهاد کرده اند که در آن از تحلیل خوشه بندی وفق پذیر نسبت به داده، برای تشخیص بر خط بات نت متمرکز[69] در مرحله فرمان و کنترل استفاده می شود.
در این روش، ابتدا جریان های ترافیک شبکه به دنباله هایی از ویژگی ها تبدیل می شوند. سپس خوشه بندی وفق پذیر نسبت به داده بر روی آن ها اعمال شده تا خوشه ها تنها در صورت تغییر عمده جریان های عضو آن ها به روز رسانی می شوند. در صورتی که جریان ها در یک خوشه از شباهت بالایی نسبت به هم برخوردار باشند و میزبان های تولید کننده آن ها به یک نقطه مرکزی متصل شوند، این میزبان ها آلوده به بات نت تشخیص داده می شوند.

 عیب این روش این است که تنها قادر به تشخیص بات نت های متمرکز است و خوشه بندی
 ارائه شده فقط ویژگی های عددی را در بر می گیرد. همچنین در این روش مدت زمان نگهداری
جریان ها در هر خوشه به صورت شفاف بیان نشده و چنین به نظر می رسد که فضای ذخیره سازی به صورت نا محدود در نظر گرفته شده است. بنابراین از کارایی زیادی برای تشخیص بر خط بات نت ها برخودار نیست.[13]

Abstrac

Today the use of botnets as a tool for criminal activities with a large area of computer networks against large targets like a country very grown. Bot distributed environment is that, for various attacks by the large volumes used, the detection of this type of attack for today as one of the important issues raised in the security of computer networks and Internet users . With the development of network bandwidth and computing power of machines, widely used in today's distributed computing . In this way, hackers have used this concept for powerful attacks, botnets are practical examples of these types of attacks  and purpose of use of botnets by financial controllers are usually .This type of Malware is called robot  or  in short say bot And the designation base on automatic behavior originates. In this study, the term botnets and botnet detection techniques including packet interpretation from data collection, filtering and clustering of the data will be examined.