SlideShare ist ein Scribd-Unternehmen logo

شناسایی بات نت های Fast-Flux با استفاده از تحلیل ناهنجاری DNS

Mahdi Sayyad
Mahdi Sayyad

بات نت ها و روش های کشف بات

Ingenieurwesen
1 von 32
‫راهنما‬ ‫استاد‬: ‫کریمی‬ ‫عباس‬ ‫دکتر‬ ‫ارائه‬‫دهنده‬: ‫صیاد‬ ‫مهدی‬ ‫شهریور‬93 ‫های‬ ‫نت‬ ‫بات‬ ‫شناسایی‬Fast-Flux‫از‬ ‫استفاده‬ ‫با‬ ‫ناهنجاری‬ ‫تحلیل‬DNS ‫اسالمی‬ ‫آزاد‬ ‫دانشگاه‬ ‫اراک‬ ‫واحد‬
‫مطالب‬ ‫خالصه‬ ‫مقدمه‬ ‫اهداف‬ ‫و‬ ‫مسئله‬ ‫بیان‬ ‫ها‬ ‫نت‬ ‫بات‬ ‫تهدیدات‬ ‫نت‬ ‫بات‬ ‫کنترل‬ ‫و‬ ‫فرماندهی‬ ‫ویژگی‬Fast-Flux‫نت‬ ‫بات‬ ‫در‬ ‫گذشته‬ ‫کارهای‬ ‫بر‬ ‫مروری‬ ‫پیشنهادی‬ ‫روش‬ ‫آینده‬ ‫کارهای‬ ‫و‬ ‫گیری‬ ‫نتیجه‬ ‫منابع‬ 2
‫مقدمه‬ ‫مهاجمین‬‫و‬‫هکرها‬‫در‬‫حال‬‫به‬‫روزرسانی‬‫و‬‫پیشرفت‬‫ه‬ ‫تر‬‫کردن‬‫تکنیک‬‫های‬‫خود‬‫به‬‫منظور‬‫حمله‬‫به‬ ‫زیرساخت‬،‫ها‬‫سازمان‬‫ها‬‫یا‬‫سرویس‬‫های‬‫اینترنتی‬ ‫در‬‫سطوح‬‫ملیتی‬‫و‬‫فرا‬‫ملیتی‬‫می‬‫باشند‬.‫انگ‬‫یزه‬‫این‬ ‫حمالت‬‫دیگر‬‫تنها‬‫کسب‬‫منفعت‬‫مالی‬‫نیست‬‫ب‬‫لکه‬ ‫اهداف‬‫سیاسی‬‫و‬‫ایدئولوژیکی‬‫را‬‫نیز‬‫دنبال‬‫می‬‫کند‬. ‫در‬‫بسیاری‬‫از‬‫حمالت‬،‫اینترنتی‬‫از‬‫بات‬‫نت‬‫به‬ ‫منظور‬‫افزایش‬‫تهداد‬‫میزبان‬‫های‬‫درگیر‬‫در‬‫یک‬ ‫حمله‬‫استفاده‬‫می‬‫شود‬. ‫این‬‫نوع‬‫حمالت‬‫یکی‬‫از‬‫چالش‬‫بر‬‫انگیز‬‫ترین‬ ‫تهدیدات‬‫پیش‬‫روی‬‫امنیت‬‫اینترنت‬‫و‬‫فضای‬ ‫سایبری‬‫است‬. ‫یک‬ ‫با‬ ‫مواجهه‬ ‫حال‬ ‫در‬ ‫سایبری‬ ‫و‬ ‫اینترنت‬ ‫فضای‬ ‫است‬ ‫تهدیدات‬ ‫پیچیدگی‬ ‫و‬ ‫نوع‬ ‫در‬ ‫انقالب‬ ‫و‬ ‫دگرگونی‬. 3 ‫حدود‬ ‫اصلی‬ ‫عامل‬ ‫ها‬ ‫نت‬ ‫بات‬77‫در‬ ‫شده‬ ‫ارسال‬ ‫های‬ ‫هرزنامه‬ ‫درصد‬ ‫ارسال‬ ،‫باشند‬ ‫می‬ ‫اینترنت‬10‫سال‬ ‫در‬ ‫هرزنامه‬ ‫بیلیون‬2010 ‫سال‬ ‫در‬ ‫مایکروسافت‬2010‫پاکسازی‬ ‫از‬6.5‫ماشین‬ ‫مورد‬ ‫میلیون‬ ‫داد‬ ‫خبر‬ ‫جهان‬ ‫سطح‬ ‫در‬ ‫بات‬ ‫به‬ ‫آلوده‬ ‫ویندوز‬. ‫از‬ ‫بات‬ ‫های‬ ‫ماشین‬ ‫تعداد‬ ‫افزایش‬3,100,000‫سال‬ ‫در‬2011‫به‬ 3,400,000‫درسال‬2012(،‫سیمانتک‬ ‫امنیتی‬ ‫گزارش‬2013) ‫حدود‬60‫سال‬ ‫در‬ ‫شده‬ ‫شناسایی‬ ‫موبایل‬ ‫بدافزارهای‬ ‫درصد‬2013‫عناصر‬ ‫دارای‬ ‫باشند‬ ‫می‬ ‫بزرگ‬ ‫یا‬ ‫کوچک‬ ‫های‬ ‫نت‬ ‫بات‬ ‫از‬ ‫هایی‬ ‫نشانه‬ ‫و‬(،‫کسپراسکی‬2014)
‫اهداف‬ ‫و‬ ‫مسئله‬ ‫بیان‬ 4 ‫یکی‬‫از‬‫شیوه‬‫های‬‫جدید‬‫مهاجمین‬‫به‬‫کارگیری‬‫تکنینک‬Fast-Flux،‫است‬‫که‬‫کارشناسان‬‫و‬‫متخصین‬ ‫امنیت‬‫را‬‫در‬‫شناسایی‬‫مرکز‬‫هدایت‬‫کننده‬‫حمالت‬‫و‬‫ماهیت‬‫حمله‬‫کننده‬‫دچار‬‫مشکل‬‫کرده‬‫است‬. ‫هکرها‬‫و‬‫سازندگان‬‫بات‬‫نت‬‫از‬‫تکنیک‬Fast-Flux‫هویت‬‫خود‬‫را‬‫مخفی‬‫کرده‬‫و‬‫کشف‬‫شدن‬‫شبکه‬‫بات‬ ‫نت‬‫را‬‫به‬‫تعویق‬‫انداخته‬‫یا‬‫حتی‬‫غیرممکن‬‫می‬‫کنند‬. ‫اهداف‬: ‫های‬ ‫نت‬ ‫بات‬ ‫های‬ ‫ویژگی‬ ‫و‬ ‫ساختار‬ ‫شناسایی‬Fast-Flux ‫تحلیل‬ ‫از‬ ‫استفاده‬ ‫با‬ ‫ناهنجار‬ ‫های‬ ‫ویژگی‬ ‫استخراج‬DNS‫های‬ ‫دامنه‬ ‫تمییز‬ ‫منظور‬ ‫به‬Fast-Flux‫مشروع‬ ‫از‬ ‫دامنه‬ ‫کشف‬ ‫منظور‬ ‫به‬ ‫روشی‬ ‫ارائه‬‫های‬Fast-Flux‫بات‬‫کننده‬ ‫هدایت‬ ‫مراکز‬ ‫شناسایی‬ ‫و‬ ‫ها‬ ‫نت‬. ‫بند‬ ‫طیقه‬ ‫از‬ ‫استفاده‬ ‫و‬ ‫ماشین‬ ‫یادگیری‬ ‫رویکرد‬SVM‫های‬ ‫کرنل‬ ،RBF،MLP Fast-Flux‫با‬ ‫مقابله‬ ‫راه‬ ‫سر‬ ‫بر‬ ‫جدید‬ ‫چالش‬ ،Botnet
‫وکلیات‬ ‫مفاهیم‬ ‫بات‬(bot)‫نت‬ ‫بات‬ ‫و‬(Bonet) ‫نت‬ ‫بات‬ ‫اجزای‬ ‫بات‬(‫یا‬Zombie) ‫کنترل‬ ‫و‬ ‫فرماندهی‬(C&C) ‫ارتباطی‬ ‫کانال‬ ‫مدیربات‬(Bot Master/Bot herder) ‫ارتباطی‬ ‫مکانیزم‬(Rallying) IRC-based P2P-Based HTTP-Based ‫نت‬ ‫بات‬ ‫یک‬ ‫پایه‬ ‫مدل‬ 5
‫ها‬ ‫نت‬ ‫بات‬ ‫تهدیدات‬ ‫کار‬ ‫چه‬ ‫نت‬ ‫بات‬ ‫بکند؟‬ ‫تواند‬ ‫می‬ ‫فیشینگ‬ ‫انکار‬ ‫حمالت‬ ‫سرویس‬ ‫هویت‬ ‫سرقت‬ ‫هرزنامه‬ ‫ابزار‬ ‫تبلیغ‬‫کلیک‬ ‫جعل‬ ‫ابزار‬ ‫جاسوس‬ ‫بدافزار‬ ‫انتشار‬ ‫جدید‬ ‫سمع‬ ‫استراق‬ ‫شبک‬ ‫ترافیک‬‫ه‬ 6
‫ها‬ ‫نت‬ ‫بات‬ ‫کنترل‬ ‫و‬ ‫فرماندهی‬ ‫ساختار‬ ‫با‬ ‫ها‬ ‫بات‬ ‫ارتباط‬ ‫بندی‬ ‫هم‬ ‫نحوه‬ ‫اساس‬ ‫بر‬ ‫را‬ ‫ها‬ ‫نت‬ ‫بات‬C&C‫کنند‬ ‫می‬ ‫بندی‬ ‫تقسیم‬. ‫متمرکز‬:‫کن‬ ‫می‬ ‫برقرار‬ ‫مرکزی‬ ‫اتصال‬ ‫نقطه‬ ‫چند‬ ‫یا‬ ‫یک‬ ‫به‬ ‫را‬ ‫خود‬ ‫ارتباطی‬ ‫کانال‬ ‫ها‬ ‫بات‬‫ند‬.‫نقاط‬ ‫سرورهای‬ ‫را‬ ‫مرکزی‬ ‫اتصال‬C&C‫دهند‬ ‫می‬ ‫تشکیل‬. SDBot،RxBot،Rustock،Pusho،Sribzi،Zeus،Asprox،Bobax،Kraken،Torpig ‫غیرمتمرکز‬(‫نظیر‬ ‫به‬ ‫نظیر‬:)‫ندارد‬ ‫وجود‬ ‫متمرکز‬ ‫سرور‬.‫ماشی‬ ‫از‬ ‫لیستی‬ ‫بات‬ ‫ماشین‬ ‫هر‬‫های‬ ‫ن‬ ‫مجاور‬(Seed)‫دهد‬ ‫می‬ ‫مجاورانتشار‬ ‫های‬ ‫ماشین‬ ‫به‬ ‫را‬ ‫دریافتی‬ ‫فرامین‬ ‫و‬ ‫دارد‬ ‫اختیار‬ ‫در‬ ‫را‬. Phatbot،Slapper،Peacomm،Mega-D،Conficker،TLD-4 ‫ترکیبی‬:‫بات‬ ‫مختلف‬ ‫های‬ ‫الیه‬ ‫از‬ ‫استفاده‬. ‫برده‬ ‫های‬ ‫بات‬ ‫الیه‬(Slave: )‫بدخواهانه‬ ‫اهداف‬ ‫برای‬ ‫خدمتگزار‬ ‫الیه‬(Servant:)‫ها‬ ‫بروزرسانی‬ ‫و‬ ‫فرامین‬ ‫دریافت‬ ‫برای‬ ‫سرورهای‬ ‫الیه‬C&C:‫بات‬ ‫مدیر‬ ‫اصلی‬ ‫فرامین‬ ‫و‬ ‫ها‬ ‫فایل‬ ‫نگهداری‬. Storm،Waledac ‫یافته‬ ‫ساخت‬ ‫غیر‬ ‫یا‬ ‫تصادفی‬:‫سرورهای‬ ‫به‬ ‫ها‬ ‫بات‬C&C‫فالگوش‬ ‫حالت‬ ‫در‬ ‫بلکه‬ ‫ندارند‬ ‫اتصال‬ ‫شوند‬ ‫می‬ ‫فرامین‬ ‫یافت‬ ‫در‬ ‫منتظر‬ ‫شبکه‬ ‫در‬.‫شبک‬ ‫بات‬ ‫به‬ ‫فرامین‬ ‫ارسال‬ ‫برای‬ ‫بات‬ ‫مدیر‬‫پویش‬ ‫را‬ ‫ه‬ ‫کند‬ ‫می‬ ‫انتخاب‬ ‫خود‬ ‫فرامین‬ ‫ارسال‬ ‫برای‬ ‫را‬ ‫زامبی‬ ‫ماشین‬ ‫یک‬ ‫و‬ ‫کرده‬. ‫است‬ ‫نشده‬ ‫روئت‬ ‫کنون‬ ‫تا‬.‫آینده‬ ‫های‬ ‫نت‬ ‫بات‬ ‫برای‬ ‫مدلی‬. 7
‫ها‬ ‫نت‬ ‫بات‬ ‫کنترل‬ ‫و‬ ‫فرماندهی‬ ‫ساختار‬ ‫متمرک‬ ‫نت‬ ‫بات‬ ‫معماری‬‫ز‬ ‫غیرمتمرکز‬ ‫نت‬ ‫بات‬ ‫معماری‬(P2P) 8
‫ها‬ ‫نت‬ ‫بات‬ ‫کنترل‬ ‫و‬ ‫فرماندهی‬ ‫ساختار‬ ‫ن‬ ‫بات‬ ‫در‬ ‫ترکیبی‬ ‫معماری‬‫ت‬ 9
‫نت‬ ‫بات‬ ‫حیات‬ ‫چرخه‬ 1.‫اولیه‬ ‫آلودگی‬ 2.‫ثانویه‬ ‫تزریق‬ 3.‫یا‬ ‫اتصال‬rally‫به‬ ‫کنترل‬ ‫مرکز‬ 4.‫های‬ ‫فعالیت‬ ‫انجام‬ ‫مخرب‬ 5.‫نگهدار‬ ‫و‬ ‫بروزرسانی‬‫ی‬ 10
‫های‬ ‫نت‬ ‫بات‬Fast-Flux ‫فرماندهای‬ ‫و‬ ‫کنترل‬ ‫سرور‬ ‫یافتن‬: .1‫آدرس‬/‫آدرس‬ ‫لیست‬IP‫ثابت‬(‫ضعیف‬) .2DSN Lookup‫سرور‬C&C(‫اطمینان‬ ‫قابل‬) ‫ویژگی‬Fast-Flux: ‫تعریف‬(1:)‫سرویس‬ ‫یک‬ ‫مکانی‬ ‫موقعیت‬ ‫سریع‬ ‫تغییر‬ ‫قابلیت‬Web،Email، DNS‫ی‬ ‫از‬ ‫شده‬ ‫توزیع‬ ‫یا‬ ‫اینترنت‬ ‫بر‬ ‫مبتنی‬ ‫سرویس‬ ‫هر‬ ‫کلی‬ ‫طور‬ ‫به‬ ‫و‬‫یا‬ ‫ک‬ ‫ه‬ ‫با‬ ‫دیگر‬ ‫های‬ ‫رایانه‬ ‫از‬ ‫ای‬ ‫مجموعه‬ ‫به‬ ‫اینترنت‬ ‫به‬ ‫متصل‬ ‫کامپیوتر‬ ‫چند‬‫دف‬ ‫شدن‬ ‫شناسایی‬ ‫از‬ ‫جلوگیری‬ ‫یا‬ ‫تاخیر‬. ‫تعریف‬(2:)‫فیلد‬ ‫مکرر‬ ‫و‬ ‫سریع‬ ‫تغییر‬A‫ویا‬NS‫یک‬ ‫در‬DNS Zone‫که‬ ، ‫مکان‬ ‫تغییر‬ ‫به‬ ‫منجر‬(‫آدرس‬IP)‫کارگذار‬‫نام‬‫دامنه‬(NS)‫یا‬‫میزبان‬ ‫یک‬ ‫اینترنت‬(Internet Host)‫شود‬ ‫می‬(‫دستکاری‬ ‫از‬ ‫استفاده‬ ‫با‬TTL‫رکورد‬ ‫در‬ DNS.) 11
‫های‬ ‫نت‬ ‫بات‬Fast-Flux ‫بات‬‫نت‬‫ها‬‫از‬‫ویژگی‬Fast-Flux‫به‬‫منظور‬‫جلوگیری‬‫از‬‫شناسایی‬‫شدن‬ C&C‫و‬‫افزایش‬‫مقاومت‬‫زیر‬‫ساخت‬‫شبکه‬‫بات‬‫نت‬‫استفاده‬‫می‬‫کن‬‫ند‬. ‫انواع‬Fast-Flax Single-Flux:‫استفاده‬‫از‬‫سرورهای‬‫نام‬‫ثابت‬‫برای‬‫بروزرسانی‬‫رکوردهای‬DNS(‫تغییر‬‫فیلد‬A) Double-Flux:‫استفاده‬‫از‬‫سرورهای‬‫نام‬‫متغییر‬‫برای‬‫پاسخ‬‫های‬DNS(‫تغییر‬‫فیلد‬NS) Domain-Flux:‫نام‬‫های‬‫دامنه‬‫به‬‫صورت‬‫مداوم‬‫تغییر‬‫می‬‫کند‬.‫تعداد‬ ‫زیادی‬‫نام‬‫دامنه‬‫در‬‫کد‬‫اجرایی‬‫بات‬‫قرار‬‫داده‬‫می‬‫شود‬. ‫دامنه‬‫ها‬‫با‬‫الگوریتمی‬‫موسوم‬‫به‬Domain Generation Algorithm‫تولید‬‫می‬‫شوند‬. ‫مدیر‬‫بات‬‫لیست‬‫مشابهی‬‫از‬‫نام‬‫های‬‫دامنه‬‫را‬‫در‬‫اختیار‬‫دارد‬‫اما‬‫یک‬‫یا‬‫برخی‬‫از‬‫آنها‬‫ثبت‬‫ش‬‫ده‬ ‫است‬. 12 Asprox Conficker-Ctropig
‫دامنه‬ ‫یک‬ ‫از‬ ‫دریافتی‬ ‫پاسخ‬Fast-Flux ‫دامنه‬ ‫یک‬ ‫از‬ ‫دریافتی‬ ‫پاسخ‬Fast-Flux(‫از‬ ‫استفاده‬ ‫با‬Dig) 13
‫و‬ ‫وب‬ ‫شبکه‬ ‫در‬ ‫درخواست‬ ‫مقایسه‬Single-flux 14
‫مقایسه‬‫درخواست‬fast-flux‫و‬Double-flux 15
‫گذشته‬ ‫کارهای‬ ‫بر‬ ‫مروری‬ (‫نت‬ ‫بات‬ ‫شناسایی‬ ‫های‬ ‫روش‬) 16 IRCP2PSNMPDNS
‫پیشنهادی‬ ‫روش‬ 17 ‫مسئله‬‫گیری‬ ‫تصمیم‬: ‫قواعد‬ ‫مجموعه‬ ‫بر‬ ‫مبتنی‬ ‫شناسایی‬(Rule Set Based)-‫مانند‬IDS ‫ماشین‬ ‫یادگیری‬(Machin Learning)-‫پیشنهادی‬ ‫رویکرد‬ ‫تشخیص‬ ‫منظور‬ ‫به‬ ‫ماشین‬ ‫یادگیری‬ ‫رویکرد‬ ‫از‬ ‫استفاده‬C&C‫های‬Fast-Flux‫عادی‬ ‫از‬(‫مسئله‬2‫کالسه‬) ‫بند‬ ‫طبقه‬SVM،RBF،MLP
‫داده‬ ‫آوری‬ ‫جمع‬ ‫یادگیری‬ ‫داده‬ ‫مجموعه‬: ‫داده‬ ‫مجموعه‬Fast-Flux:‫عنوان‬ ‫یه‬ ‫شده‬ ‫شناسایی‬Fast-Flux-‫پایگاه‬ ‫از‬Security Information Exchange (SIE)،kraken،Tropig،Conficker،Zeus،Spam ‫مشروع‬ ‫داده‬ ‫مجموعه‬(benign:)‫مشروع‬ ‫دامنه‬ ‫عنوان‬ ‫به‬ ‫شده‬ ‫شناسایی‬-‫از‬Alexa top 1000 ‫ابزار‬ ‫از‬ ‫استفاده‬dig‫ها‬ ‫دامنه‬ ‫پاسخ‬ ‫اطالعات‬ ‫آوری‬ ‫جمع‬ ‫برای‬. ‫تست‬ ‫داده‬ ‫مجموعه‬:‫عنوان‬ ‫به‬ ‫شده‬ ‫شناسایی‬ ‫و‬ ‫تحلیل‬ ‫تست‬ ‫های‬ ‫داده‬Fast-Flux‫از‬ www.malwaredomainlist.com‫مشروع‬ ‫های‬ ‫دامنه‬ ‫و‬ 18 Data-set Volume Category Fast-Flux Domains 2200 TRAINING DATASET Legitimate Domains 2000 Unkhnown Domains 2000 TESTING DATASET
‫ها‬ ‫ویژگی‬ ‫انتخاب‬ ‫ها‬‫ویژگی‬ ‫دسته‬‫ها‬‫ویژگی‬ ‫نام‬‫ویژگی‬ ‫هر‬ ‫تعداد‬ ‫زمان‬ ‫بر‬ ‫مبتنی‬ ‫های‬‫ویژگی‬ ‫زمان‬Query‫هر‬ ‫در‬dig ‫زمان‬ ‫اختالف‬Query‫دو‬ ‫در‬dig 2 1 ‫پاسخ‬ ‫بر‬ ‫مبتنی‬ ‫های‬‫ویژگی‬ ‫در‬ ‫دریافتی‬ ‫های‬‫پاسخ‬ ‫تعداد‬Answer،Authority‫و‬Additional ‫قسمت‬ ‫های‬‫پاسخ‬ ‫تعداد‬ ‫اختالف‬Authority‫و‬Additional ‫دریافتی‬ ‫پیغام‬ ‫طول‬ 6 2 1 ‫زمان‬ ‫بر‬ ‫مبتنی‬ ‫های‬‫ویژگی‬TTL ‫های‬‫زمان‬ ‫میانگین‬TTL‫کل‬ ‫طور‬ ‫به‬ ‫و‬ ‫قسمت‬ ‫هر‬ ‫در‬ ‫ها‬ ‫های‬‫زمان‬ ‫واریانس‬TTL‫کل‬ ‫طور‬ ‫به‬ ‫و‬ ‫قسمت‬ ‫هر‬ ‫در‬ ‫ها‬ 8 8 ‫دامن‬ ‫نام‬ ‫بر‬ ‫مبتنی‬ ‫های‬‫ویژگی‬‫ه‬ ‫نام‬ ‫در‬ ‫موجود‬ ‫حروف‬ ‫کل‬ ‫تعداد‬ ‫نام‬ ‫در‬ ‫موجود‬ ‫اعداد‬ ‫درصد‬ Bi-Gram 1 1 20 ‫ها‬‫ویژگی‬ ‫کل‬ ‫مجموع‬50 19
‫با‬ ‫نتایج‬50‫اولیه‬ ‫ویژگی‬ 20 False-PositiveFalse-Negative‫دقت‬‫یادگیری‬ ‫زمان‬/‫تست‬‫بندی‬ ‫طبقه‬ ‫زمان‬ SVM0.8%1.2%99%8.8288/17.64590.0027 SVM‫کرنل‬ ‫با‬RBF0.055%2.1%98.68%13.2467/17.92980.0033 SVM‫با‬‫کرنل‬MLP1.15%4.45%97.2%9.6041/10.22710.0026 ‫شده‬ ‫انجام‬ ‫بینی‬‫پیش‬ ‫واقعی‬‫کالس‬ 𝐿𝑒𝑔𝑖𝑡𝑖𝑚𝑎𝑡𝑒 𝐹𝑎𝑠𝑡 − 𝐹𝑙𝑢𝑥 𝐿𝑒𝑔𝑖𝑡𝑖𝑚𝑎𝑡𝑒 1977 23 𝐹𝑎𝑠𝑡 − 𝐹𝑙𝑢𝑥 89 1911 ‫جدول‬Confusion
‫ویژگی‬ ‫هر‬ ‫دقت‬ 21
‫ها‬ ‫ویژگی‬ ‫بررسی‬ ‫های‬‫ویژگی‬‫با‬‫دقت‬‫باالی‬60%: ‫شماره‬33:‫که‬‫مربوط‬‫به‬‫ویژگی‬‫سوم‬‫دسته‬‫های‬‫ویژگی‬bi-gram(‫پسوند‬‫دامنه‬)‫است‬.‫به‬‫تنهایی‬86.3%‫دقت‬‫برای‬ SVM‫داشته‬‫است‬.‫دامنه‬‫های‬Fast-Flux‫اغلب‬‫دارای‬‫دامنه‬‫سه‬‫حرفی‬‫اند‬(.com, .net‫و‬...). ‫شماره‬29:‫تعداد‬‫کل‬‫های‬‫کاراکتر‬‫دامنه‬‫که‬‫در‬‫های‬‫نمونه‬‫مشروع‬‫ها‬‫دامنه‬‫دارای‬‫های‬‫اسم‬‫تر‬‫کوتاه‬‫هستند‬. ‫شماره‬5:‫تعداد‬‫های‬‫پاسخ‬‫بخش‬Answer‫در‬dig‫دوم‬ ‫شماره‬4:‫تعداد‬‫های‬‫پاسخ‬‫بخش‬Answer‫در‬dig‫اول‬ ‫شماره‬12:‫طول‬‫پیغام‬‫دریافتی‬ ‫شماره‬2:‫زمان‬Query‫در‬dig‫دوم‬ ‫شماره‬17:‫میانگین‬‫های‬‫زمان‬TTL‫قسمت‬Authority‫در‬dig‫اول‬ ‫شماره‬25:‫میانگین‬‫کل‬‫های‬‫زمان‬TTL‫در‬dig‫اول‬ 22
‫دقت‬ ‫براساس‬ ‫ها‬ ‫ویژگی‬ ‫جدول‬ 23 Score Feature Name Feature Index 1 'Bi-gram Index3' 33 2 'Length of Domain Name' 29 3 'Number of Answer dig2' 5 4 'Number of Answer dig1' 4 5 'Length of Message Received' 12 6 'Query Time dig2' 2 7 'Average of TTL Time Authority dig1' 17 8 'Average of TTL Time Total dig1' 25 9 'Average of TTL Time Authority dig2' 18 10 'Number of Authority dig2' 7 11 'Average of TTL Time Total dig2' 26 12 'Number of Authority dig1' 6 13 'Percentage of Digits in Domain Name' 30 14 'Difference of Authority and Additional dig2' 11 15 'Bi-gram Index1' 31 16 'Number of Additional dig1' 8 17 'Average of TTL Time Additional dig2' 22 18 'Bi-gram Index12' 42 19 'Query Time dig1' 1 20 'Variance of TTL Time Additional dig1' 23 21 'Bi-gram Index15' 45 22 'Bi-gram Index16' 46 23 'Bi-gram Index5' 35 24 'Bi-gram Index18' 48 Score Feature Name Feature Index 26 'Bi-gram Index10' 40 27 'Bi-gram Index2' 32 28 'Bi-gram Index8' 38 29 'Bi-gram Index17' 47 30 'Bi-gram Index7' 37 31 'Bi-gram Index9' 39 32 'Bi-gram Index14' 44 33 'Bi-gram Index19' 49 34 'Query Time Difference' 3 35 'Bi-gram Index4' 34 36 'Bi-gram Index20' 50 37 'Bi-gram Index11' 41 38 'Number of Additional dig2' 9 39 'Variance of TTL Time Answers dig1' 15 40 'Variance of TTL Time Answers dig2' 16 41 'Average of TTL Time Answers dig1' 13 42 'Average of TTL Time Answers dig2' 14 43 'Variance of TTL Time Authority dig1' 19 44 'Variance of TTL Time Authority dig2' 20 45 'Variance of TTL Time Additional dig2' 24 46 'Variance of TTL Time Total dig1' 27 47 'Variance of TTL Time Total dig2' 28 48 'Difference of Authority and Additional dig1' 10 49 'Bi-gram Index13' 43
‫برای‬ ‫ها‬ ‫ویژیگی‬ ‫بررسی‬SVM 29‫دقت‬ ‫به‬ ‫برتر‬ ‫ویژگی‬99.05%‫است‬ ‫رسیده‬ 24
‫بررسی‬‫ویژگی‬‫برای‬ ‫ها‬RBF ‫با‬38‫بیشینه‬ ‫دقت‬ ‫به‬ ‫برتر‬ ‫ویژگی‬97.48%‫رسیده‬‫است‬ 25
‫برای‬ ‫ها‬ ‫ویژگی‬ ‫بررسی‬MLP ‫با‬38‫بیشینه‬ ‫دقت‬ ‫به‬ ‫برتر‬ ‫ویژگی‬97.48%‫است‬ ‫رسیده‬ 26
‫ها‬ ‫ویژگی‬ ‫کاهش‬ (‫ها‬ ‫ویژگی‬ ‫حداقل‬ ‫بهترین‬ ‫به‬ ‫نیاز‬) 27 ‫ویژگی‬‫های‬‫بهینه‬-‫دارای‬‫بیشترین‬‫اطالعات‬‫در‬‫تشخیص‬‫دامنه‬‫های‬Fast-Flux ‫تعداد‬‫بهینه‬‫ها‬‫ویژگی‬38‫عدد‬‫و‬‫نوع‬‫آنها‬38‫ویژگی‬‫اول‬‫موجود‬‫در‬‫جدول‬‫هستند‬‫که‬‫توانند‬‫می‬‫بهترین‬‫نتیجه‬‫را‬‫به‬‫طور‬‫کلی‬‫در‬‫اختیار‬ ‫بگذارند‬‫و‬‫این‬‫به‬‫معنای‬‫قرار‬‫داشتن‬‫مهمترین‬‫اطالعات‬‫برای‬‫تشخیص‬Fast-Flux‫بودن‬‫یک‬‫دامنه‬‫در‬‫این‬‫ویژگی‬‫ها‬‫است‬. ‫با‬15‫ویژگی‬‫برتر‬‫هردو‬‫کرنل‬RBF‫و‬MLP‫به‬‫دقتی‬‫بیش‬‫از‬95%‫دست‬‫اند‬‫یافته‬‫که‬‫در‬‫نمودار‬CCR‫هردو‬‫کرنل‬‫در‬ ‫این‬‫نقطه‬‫جهش‬‫دیده‬‫شود‬‫می‬(SVM‫معمولی‬‫با‬29‫ویژگی‬‫به‬‫همگرایی‬‫رسید‬). ‫پس‬‫با‬‫مینیمم‬‫ویژگی‬15‫می‬‫توان‬‫به‬‫دقت‬‫بیش‬‫از‬95‫در‬‫تشخیص‬‫دامنه‬‫های‬Fast-Flux‫دست‬‫یافت‬. ‫بهینه‬ ‫های‬ ‫ویژگی‬ ‫حداقل‬‫ها‬ ‫ویژگی‬ 38 15 ‫تعداد‬ 98/3% 95% ‫دقت‬ ‫بهتری‬ ‫حداقل‬‫ن‬
‫یافته‬ ‫کاهش‬ ‫های‬ ‫ویژگی‬ ‫با‬ ‫ارزیابی‬ 28 ‫جدول‬‫الگوریتم‬ ‫ارزیابی‬ ‫پیشنهادی‬ ‫دقت‬‫بهبود‬‫یادگیری‬ ‫زمان‬/‫تس‬‫ت‬‫بندی‬ ‫طبقه‬ ‫زمان‬ ‫بر‬ ‫مبتنی‬ ‫پیشنهادی‬ ‫روش‬ SVM (29‫ویژگی‬) 99.5%12.5%17.65/8.830.0025 ‫روش‬SVM‫کرنل‬ ‫با‬RBF (15‫ویژگی‬) 96%9%13.17/11.900.0030 ‫روش‬SVM‫کرنل‬ ‫با‬MLP (15‫ویژگی‬) 94%7%17/11.250.0020 ‫پیشین‬ ‫روش‬(Stalman)87%--- ‫زمان‬ ‫و‬ ‫دقت‬ ‫لحاظ‬ ‫از‬ ‫پیشنهادی‬ ‫های‬‫روش‬ ‫مقایسه‬ ‫دقت‬‫بر‬ ‫مبتنی‬ ‫پیشنهادی‬ ‫روش‬SVM‫دقت‬ ‫بهترین‬ ‫زمان‬ (‫یادگیری‬/‫تست‬/‫بندی‬ ‫طقه‬) ‫بر‬ ‫مبتنی‬ ‫پیشنهادی‬ ‫روش‬MLP‫زمان‬ ‫بهترین‬
‫دستاوردها‬ ‫و‬ ‫نتایج‬ 29 ‫های‬ ‫شبکه‬ ‫و‬ ‫ها‬ ‫نت‬ ‫بات‬ ‫تشخیص‬ ‫در‬ ‫بهینه‬ ‫های‬ ‫ویژگی‬ ‫استخراج‬Fast- Flux ‫نت‬ ‫بات‬ ‫های‬ ‫دامنه‬ ‫تشخیص‬ ‫منظور‬ ‫به‬ ‫روش‬ ‫یک‬ ‫ارائه‬Fast-Flux‫از‬ ‫مشروع‬ ‫روش‬ ‫بودن‬ ‫برخط‬ ‫و‬ ‫هوشمندی‬ ‫قابلیت‬ ‫نت‬ ‫بات‬ ‫کانال‬ ‫نوع‬ ‫و‬ ‫ارتباطی‬ ‫ساختار‬ ‫از‬ ‫مستقل‬(،‫غیرمتمرکز‬ ،‫متمرکز‬http،p2p) ‫زمانی‬ ‫های‬ ‫ویژگی‬ ‫گرفتن‬ ‫نظر‬ ‫در‬(TTL)‫قابلیت‬ ‫شناسایی‬ ‫در‬ ‫که‬Fast-Flux ‫است‬ ‫موثرتر‬(‫پیشین‬ ‫های‬ ‫پژوهش‬ ‫در‬ ‫بکارگیری‬ ‫عدم‬) ‫زبانی‬ ‫های‬ ‫ویژگی‬ ‫از‬ ‫استفاده‬(bi-gram)-(‫های‬ ‫پژوهش‬ ‫در‬ ‫بکارگیری‬ ‫عدم‬ ‫پیشین‬) ‫شناسایی‬ ‫قابلیت‬Single-Flux‫و‬Double-Flux‫همزمان‬ ‫گذشته‬ ‫کار‬ ‫با‬ ‫مقایسه‬ ‫در‬ ‫شناسایی‬ ‫روش‬ ‫بهبودن‬
‫آینده‬ ‫کارهای‬ 30 ‫از‬ ‫مستقل‬ ‫راهکار‬ ‫ارائه‬ ‫و‬ ‫تاخیر‬ ‫بهبود‬dig ‫های‬ ‫نت‬ ‫بات‬ ‫شناسایی‬Domain-Flux ‫آینده‬ ‫های‬ ‫نت‬ ‫بات‬ ‫موبایل‬ ‫های‬ ‫شبکه‬(SMS-Based Botnet‫و‬)... ‫نظیر‬ ‫به‬ ‫نظیر‬ ‫های‬ ‫شبکه‬ ‫بر‬ ‫مبتنی‬(P2P botnet) ‫ابرپردازش‬ ‫بر‬ ‫مبتنی‬(Cloud-Based Botnet)
‫منابع‬  Messagelabs intelligence: 2010 annual security report. Technical report, Symantec Corp., 2010.  Battling botnets for control of computers—microsoft security intelligence report.Technical report, Microsoft Corp., Jan to June 2010.  E. Stalmans, A Framework for DNS Based Detection and Mitigation of Malware Infections on a Network, Information Security South Africa Conference, 2011.  N. Jiang, J. Cao, Y. Jin, L.E. Li, Z. Zhang, Identifying suspicious activities through DNS failure graph analysis, in: 18th IEEE International Conference on Network Protocols (ICNPs), 2010.  D. Plohmann, E. Gerhards-Padilla, F. Leder, Botnets: Detection,Measurement, Disinfection & Defence, Technical Report, The European Network and Information Security Agency, 2011.  Nhauo Davuth and Sung-Ryul Kim, Classification of Malicious Domain Names using Support Vector Machine and Bi- gram Method, International Journal of Security and Its Applications,Vol. 7, No. 1, 2013  L. Bilge, E. Kirda, C. Kruegel, M. Balduzzi, EXPOSURE: Finding Malicious Domains Using Passive DNS Analysis, In ACM Conference on Computer and Communication Security (CCS), 2011.  R. Villamarn-Salomn and J. C. Brustoloni. Bayesian bot detection based on DNS traffic similarity. In SAC’09: ACM symposium on Applied Computing, 2009.  T.Holz, C. Gorecki, K. Rieck, and F.C. Freiling. Measuring and Detecting Fast-Flux Service Networks. In Annual Network and Distributed System Security Symposium (NDSS), 2008  Mark Felegyhazi, Christian Kreibich, and Vern Paxson. On the potential of proactive domain blacklisting. In Proceedings of the Third USENIX Workshop on Large-scale Exploits and Emergent Threats (LEET),San Jose, CA, USA, April 2010.  Hyunsang Choi, Heejo Lee, Identifying botnets by capturing group activities in DNS traffic, journal of Computer Security, Elsevier,2012.  A.M. Manasrah, A. Hasan, O.A. Abouabdalla, S. Ramadass, Detecting Botnet Activities Based on Abnormal DNS traffic, International Journal of Computer Science and Information Security (IJCSIS), 2009. 31
‫ش‬ ‫توجه‬ ‫از‬ ‫تشکر‬ ‫با‬‫ما‬ Email: Mehdi.Sayad@yahoo.com ‫محترم‬ ‫داوران‬ ‫و‬ ‫اساتید‬ ‫از‬ ‫ویژه‬ ‫سپاس‬ ‫و‬ ‫راهنما‬ ‫استاد‬: ‫کریمی‬ ‫عباس‬ ‫دکتر‬ September, 2014

Empfohlen

Patch Management Best Practices
Patch Management Best Practices Patch Management Best Practices
Patch Management Best Practices Ivanti
 
Cisco Digital Network Architecture - Introducing the Network Intuitive
Cisco Digital Network Architecture - Introducing the Network IntuitiveCisco Digital Network Architecture - Introducing the Network Intuitive
Cisco Digital Network Architecture - Introducing the Network IntuitiveCisco Canada
 
Cisco ASA Firepower
Cisco ASA FirepowerCisco ASA Firepower
Cisco ASA FirepowerAnwesh Dixit
 
SIEM : Security Information and Event Management
SIEM : Security Information and Event Management SIEM : Security Information and Event Management
SIEM : Security Information and Event Management SHRIYARAI4
 
SIEM in NIST Cyber Security Framework
SIEM in NIST Cyber Security FrameworkSIEM in NIST Cyber Security Framework
SIEM in NIST Cyber Security FrameworkBernie Leung, P.E., CISSP
 
Secure Access – Anywhere by Prisma, PaloAlto
Secure Access – Anywhere by Prisma, PaloAltoSecure Access – Anywhere by Prisma, PaloAlto
Secure Access – Anywhere by Prisma, PaloAltoPrime Infoserv
 
Breaking The Cloud Kill Chain
Breaking The Cloud Kill ChainBreaking The Cloud Kill Chain
Breaking The Cloud Kill ChainPuma Security, LLC
 
IBM Security QFlow & Vflow
IBM Security QFlow & VflowIBM Security QFlow & Vflow
IBM Security QFlow & VflowCamilo Fandiño Gómez
 

Empfohlen

Patch Management Best Practices
Patch Management Best Practices Patch Management Best Practices
Patch Management Best Practices Ivanti
 
Cisco Digital Network Architecture - Introducing the Network Intuitive
Cisco Digital Network Architecture - Introducing the Network IntuitiveCisco Digital Network Architecture - Introducing the Network Intuitive
Cisco Digital Network Architecture - Introducing the Network IntuitiveCisco Canada
 
Cisco ASA Firepower
Cisco ASA FirepowerCisco ASA Firepower
Cisco ASA FirepowerAnwesh Dixit
 
SIEM : Security Information and Event Management
SIEM : Security Information and Event Management SIEM : Security Information and Event Management
SIEM : Security Information and Event Management SHRIYARAI4
 
SIEM in NIST Cyber Security Framework
SIEM in NIST Cyber Security FrameworkSIEM in NIST Cyber Security Framework
SIEM in NIST Cyber Security FrameworkBernie Leung, P.E., CISSP
 
Secure Access – Anywhere by Prisma, PaloAlto
Secure Access – Anywhere by Prisma, PaloAltoSecure Access – Anywhere by Prisma, PaloAlto
Secure Access – Anywhere by Prisma, PaloAltoPrime Infoserv
 
Breaking The Cloud Kill Chain
Breaking The Cloud Kill ChainBreaking The Cloud Kill Chain
Breaking The Cloud Kill ChainPuma Security, LLC
 
IBM Security QFlow & Vflow
IBM Security QFlow & VflowIBM Security QFlow & Vflow
IBM Security QFlow & VflowCamilo Fandiño Gómez
 
Microsoft Defender for Endpoint
Microsoft Defender for EndpointMicrosoft Defender for Endpoint
Microsoft Defender for EndpointCheah Eng Soon
 
System hardening - OS and Application
System hardening - OS and ApplicationSystem hardening - OS and Application
System hardening - OS and Applicationedavid2685
 
Security Information Event Management - nullhyd
Security Information Event Management - nullhydSecurity Information Event Management - nullhyd
Security Information Event Management - nullhydn|u - The Open Security Community
 
Fortinet
FortinetFortinet
FortinetABEP123
 
Azure sentinel
Azure sentinelAzure sentinel
Azure sentinelMarius Sandbu
 
SEIM-Microsoft Sentinel.pptx
SEIM-Microsoft Sentinel.pptxSEIM-Microsoft Sentinel.pptx
SEIM-Microsoft Sentinel.pptxAmrMousa51
 
SOC presentation- Building a Security Operations Center
SOC presentation- Building a Security Operations CenterSOC presentation- Building a Security Operations Center
SOC presentation- Building a Security Operations CenterMichael Nickle
 
Splunk workshop-Threat Hunting
Splunk workshop-Threat HuntingSplunk workshop-Threat Hunting
Splunk workshop-Threat HuntingSplunk
 
Mikrotik RouterOS Security Audit Checklist by Akbar Azwir
Mikrotik RouterOS Security Audit Checklist by Akbar AzwirMikrotik RouterOS Security Audit Checklist by Akbar Azwir
Mikrotik RouterOS Security Audit Checklist by Akbar AzwirAkbar Azwir, MM, PMP, PMI-SP, PSM I, CISSP
 
11 palo alto user-id concepts
11 palo alto user-id concepts11 palo alto user-id concepts
11 palo alto user-id conceptsMostafa El Lathy
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Syslog Protocols
Syslog ProtocolsSyslog Protocols
Syslog ProtocolsMartin Schütte
 
SIEM Primer:
SIEM Primer:SIEM Primer:
SIEM Primer:Anton Chuvakin
 
Palo Alto Networks 28.5.2013
Palo Alto Networks 28.5.2013Palo Alto Networks 28.5.2013
Palo Alto Networks 28.5.2013Belsoft
 
Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...
Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...
Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...Sounil Yu
 
Developing a Threat Modeling Mindset
Developing a Threat Modeling MindsetDeveloping a Threat Modeling Mindset
Developing a Threat Modeling MindsetRobert Hurlbut
 
Security policy
Security policySecurity policy
Security policyDhani Ahmad
 
CCNA Security - Chapter 2
CCNA Security - Chapter 2CCNA Security - Chapter 2
CCNA Security - Chapter 2Irsandi Hasan
 
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiMitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiBGA Cyber Security
 
Cisco Cyber Security Essentials Chapter-1
Cisco Cyber Security Essentials Chapter-1Cisco Cyber Security Essentials Chapter-1
Cisco Cyber Security Essentials Chapter-1Mukesh Chinta
 
Network-security muhibullah aman-first edition-in Persian
Network-security muhibullah aman-first edition-in PersianNetwork-security muhibullah aman-first edition-in Persian
Network-security muhibullah aman-first edition-in PersianMuhibullah Aman
 
معرفي فايروال پايگاه داده
معرفي فايروال پايگاه دادهمعرفي فايروال پايگاه داده
معرفي فايروال پايگاه دادهHamid Torkashvand
 

Weitere ähnliche Inhalte

Was ist angesagt?

Microsoft Defender for Endpoint
Microsoft Defender for EndpointMicrosoft Defender for Endpoint
Microsoft Defender for EndpointCheah Eng Soon
 
System hardening - OS and Application
System hardening - OS and ApplicationSystem hardening - OS and Application
System hardening - OS and Applicationedavid2685
 
Fortinet
FortinetFortinet
FortinetABEP123
 
SEIM-Microsoft Sentinel.pptx
SEIM-Microsoft Sentinel.pptxSEIM-Microsoft Sentinel.pptx
SEIM-Microsoft Sentinel.pptxAmrMousa51
 
SOC presentation- Building a Security Operations Center
SOC presentation- Building a Security Operations CenterSOC presentation- Building a Security Operations Center
SOC presentation- Building a Security Operations CenterMichael Nickle
 
Splunk workshop-Threat Hunting
Splunk workshop-Threat HuntingSplunk workshop-Threat Hunting
Splunk workshop-Threat HuntingSplunk
 
11 palo alto user-id concepts
11 palo alto user-id concepts11 palo alto user-id concepts
11 palo alto user-id conceptsMostafa El Lathy
 
Palo Alto Networks 28.5.2013
Palo Alto Networks 28.5.2013Palo Alto Networks 28.5.2013
Palo Alto Networks 28.5.2013Belsoft
 
Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...
Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...
Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...Sounil Yu
 
Developing a Threat Modeling Mindset
Developing a Threat Modeling MindsetDeveloping a Threat Modeling Mindset
Developing a Threat Modeling MindsetRobert Hurlbut
 
CCNA Security - Chapter 2
CCNA Security - Chapter 2CCNA Security - Chapter 2
CCNA Security - Chapter 2Irsandi Hasan
 
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiMitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiBGA Cyber Security
 
Cisco Cyber Security Essentials Chapter-1
Cisco Cyber Security Essentials Chapter-1Cisco Cyber Security Essentials Chapter-1
Cisco Cyber Security Essentials Chapter-1Mukesh Chinta
 

Was ist angesagt? (20)

Microsoft Defender for Endpoint
Microsoft Defender for EndpointMicrosoft Defender for Endpoint
Microsoft Defender for Endpoint
 
System hardening - OS and Application
System hardening - OS and ApplicationSystem hardening - OS and Application
System hardening - OS and Application
 
Security Information Event Management - nullhyd
Security Information Event Management - nullhydSecurity Information Event Management - nullhyd
Security Information Event Management - nullhyd
 
Fortinet
FortinetFortinet
Fortinet
 
Azure sentinel
Azure sentinelAzure sentinel
Azure sentinel
 
SEIM-Microsoft Sentinel.pptx
SEIM-Microsoft Sentinel.pptxSEIM-Microsoft Sentinel.pptx
SEIM-Microsoft Sentinel.pptx
 
SOC presentation- Building a Security Operations Center
SOC presentation- Building a Security Operations CenterSOC presentation- Building a Security Operations Center
SOC presentation- Building a Security Operations Center
 
Splunk workshop-Threat Hunting
Splunk workshop-Threat HuntingSplunk workshop-Threat Hunting
Splunk workshop-Threat Hunting
 
Mikrotik RouterOS Security Audit Checklist by Akbar Azwir
Mikrotik RouterOS Security Audit Checklist by Akbar AzwirMikrotik RouterOS Security Audit Checklist by Akbar Azwir
Mikrotik RouterOS Security Audit Checklist by Akbar Azwir
 
11 palo alto user-id concepts
11 palo alto user-id concepts11 palo alto user-id concepts
11 palo alto user-id concepts
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
Syslog Protocols
Syslog ProtocolsSyslog Protocols
Syslog Protocols
 
SIEM Primer:
SIEM Primer:SIEM Primer:
SIEM Primer:
 
Palo Alto Networks 28.5.2013
Palo Alto Networks 28.5.2013Palo Alto Networks 28.5.2013
Palo Alto Networks 28.5.2013
 
Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...
Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...
Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...
 
Developing a Threat Modeling Mindset
Developing a Threat Modeling MindsetDeveloping a Threat Modeling Mindset
Developing a Threat Modeling Mindset
 
Security policy
Security policySecurity policy
Security policy
 
CCNA Security - Chapter 2
CCNA Security - Chapter 2CCNA Security - Chapter 2
CCNA Security - Chapter 2
 
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiMitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
 
Cisco Cyber Security Essentials Chapter-1
Cisco Cyber Security Essentials Chapter-1Cisco Cyber Security Essentials Chapter-1
Cisco Cyber Security Essentials Chapter-1
 

Ähnlich wie شناسایی بات نت های Fast-Flux با استفاده از تحلیل ناهنجاری DNS

Network-security muhibullah aman-first edition-in Persian
Network-security muhibullah aman-first edition-in PersianNetwork-security muhibullah aman-first edition-in Persian
Network-security muhibullah aman-first edition-in PersianMuhibullah Aman
 
معرفي فايروال پايگاه داده
معرفي فايروال پايگاه دادهمعرفي فايروال پايگاه داده
معرفي فايروال پايگاه دادهHamid Torkashvand
 
گاهنامه چهارمحال و_بختیاری_دیماه
گاهنامه چهارمحال و_بختیاری_دیماهگاهنامه چهارمحال و_بختیاری_دیماه
گاهنامه چهارمحال و_بختیاری_دیماهtarasad
 
Javan Cloud Security 950526 (oCCc63)
Javan Cloud Security 950526 (oCCc63)Javan Cloud Security 950526 (oCCc63)
Javan Cloud Security 950526 (oCCc63)Morteza Javan
 
امنیت شبکه
امنیت شبکهامنیت شبکه
امنیت شبکهarichoana
 
قلاب سازی در تحلیل بدافزارهاHooking in Malware Analysis
قلاب سازی در تحلیل بدافزارهاHooking in Malware Analysis قلاب سازی در تحلیل بدافزارهاHooking in Malware Analysis
قلاب سازی در تحلیل بدافزارهاHooking in Malware AnalysisM Mehdi Ahmadian
 
Applying event driven architecture to mobile computing
Applying event driven architecture to mobile computingApplying event driven architecture to mobile computing
Applying event driven architecture to mobile computingMehdi Rizvandi
 
Web Application Security Test
Web Application Security TestWeb Application Security Test
Web Application Security TestSaeid Sadeghi
 
طراحی شبکه های کامپیوتری
طراحی شبکه های کامپیوتریطراحی شبکه های کامپیوتری
طراحی شبکه های کامپیوتریtarasad
 
Pdn tech-netfilter&iptables-ver2.1.0
Pdn tech-netfilter&iptables-ver2.1.0Pdn tech-netfilter&iptables-ver2.1.0
Pdn tech-netfilter&iptables-ver2.1.0pdnsoftco
 
Pdn tech-netfilter&iptables-ver2.1.0
Pdn tech-netfilter&iptables-ver2.1.0Pdn tech-netfilter&iptables-ver2.1.0
Pdn tech-netfilter&iptables-ver2.1.0pdnsoftco
 
بررسی روشهای مسیریابی شبکه های فرصت طلبانه
بررسی روشهای مسیریابی شبکه های فرصت طلبانهبررسی روشهای مسیریابی شبکه های فرصت طلبانه
بررسی روشهای مسیریابی شبکه های فرصت طلبانهabedin753
 
An introduction to TRON cryptocurrency
An introduction to TRON cryptocurrencyAn introduction to TRON cryptocurrency
An introduction to TRON cryptocurrencyMohammad Mahdi Mojahed
 

Ähnlich wie شناسایی بات نت های Fast-Flux با استفاده از تحلیل ناهنجاری DNS (20)

Network-security muhibullah aman-first edition-in Persian
Network-security muhibullah aman-first edition-in PersianNetwork-security muhibullah aman-first edition-in Persian
Network-security muhibullah aman-first edition-in Persian
 
معرفي فايروال پايگاه داده
معرفي فايروال پايگاه دادهمعرفي فايروال پايگاه داده
معرفي فايروال پايگاه داده
 
گاهنامه چهارمحال و_بختیاری_دیماه
گاهنامه چهارمحال و_بختیاری_دیماهگاهنامه چهارمحال و_بختیاری_دیماه
گاهنامه چهارمحال و_بختیاری_دیماه
 
Javan Cloud Security 950526 (oCCc63)
Javan Cloud Security 950526 (oCCc63)Javan Cloud Security 950526 (oCCc63)
Javan Cloud Security 950526 (oCCc63)
 
Iptables
IptablesIptables
Iptables
 
Soap vs restful
Soap vs restfulSoap vs restful
Soap vs restful
 
امنیت شبکه
امنیت شبکهامنیت شبکه
امنیت شبکه
 
قلاب سازی در تحلیل بدافزارهاHooking in Malware Analysis
قلاب سازی در تحلیل بدافزارهاHooking in Malware Analysis قلاب سازی در تحلیل بدافزارهاHooking in Malware Analysis
قلاب سازی در تحلیل بدافزارهاHooking in Malware Analysis
 
Applying event driven architecture to mobile computing
Applying event driven architecture to mobile computingApplying event driven architecture to mobile computing
Applying event driven architecture to mobile computing
 
Web Application Security Test
Web Application Security TestWeb Application Security Test
Web Application Security Test
 
ارائهٔ DLP
ارائهٔ DLPارائهٔ DLP
ارائهٔ DLP
 
طراحی شبکه های کامپیوتری
طراحی شبکه های کامپیوتریطراحی شبکه های کامپیوتری
طراحی شبکه های کامپیوتری
 
Pdn tech-netfilter&iptables-ver2.1.0
Pdn tech-netfilter&iptables-ver2.1.0Pdn tech-netfilter&iptables-ver2.1.0
Pdn tech-netfilter&iptables-ver2.1.0
 
Pdn tech-netfilter&iptables-ver2.1.0
Pdn tech-netfilter&iptables-ver2.1.0Pdn tech-netfilter&iptables-ver2.1.0
Pdn tech-netfilter&iptables-ver2.1.0
 
Network penetration
Network penetrationNetwork penetration
Network penetration
 
بررسی روشهای مسیریابی شبکه های فرصت طلبانه
بررسی روشهای مسیریابی شبکه های فرصت طلبانهبررسی روشهای مسیریابی شبکه های فرصت طلبانه
بررسی روشهای مسیریابی شبکه های فرصت طلبانه
 
Ossec
OssecOssec
Ossec
 
An introduction to TRON cryptocurrency
An introduction to TRON cryptocurrencyAn introduction to TRON cryptocurrency
An introduction to TRON cryptocurrency
 
how use iptables
how use iptables how use iptables
how use iptables
 
SIEM and SOC
SIEM and SOCSIEM and SOC
SIEM and SOC
 

Mehr von Mahdi Sayyad

ISO15408CC_ارزیابی امنیتی محصول.pdf
ISO15408CC_ارزیابی امنیتی محصول.pdfISO15408CC_ارزیابی امنیتی محصول.pdf
ISO15408CC_ارزیابی امنیتی محصول.pdfMahdi Sayyad
 
Data Fusion model for web analytics
Data Fusion model for web analyticsData Fusion model for web analytics
Data Fusion model for web analyticsMahdi Sayyad
 
ِData Fusion and Log correlation tools & case-studies
ِData Fusion and Log correlation tools & case-studiesِData Fusion and Log correlation tools & case-studies
ِData Fusion and Log correlation tools & case-studiesMahdi Sayyad
 
data Fusion and log correlation
data Fusion and log correlationdata Fusion and log correlation
data Fusion and log correlationMahdi Sayyad
 
ارزیابی امنیتی محصولات فناوری اطلاعات(ISO 15408 Common Criteria)- بخش دوم
ارزیابی امنیتی محصولات فناوری اطلاعات(ISO 15408 Common Criteria)- بخش دومارزیابی امنیتی محصولات فناوری اطلاعات(ISO 15408 Common Criteria)- بخش دوم
ارزیابی امنیتی محصولات فناوری اطلاعات(ISO 15408 Common Criteria)- بخش دومMahdi Sayyad
 
ISO/IEC 15408-Common Criteria: ارزیابی امنیتی محصولات فناوری اطلاعات
ISO/IEC 15408-Common Criteria: ارزیابی امنیتی محصولات فناوری اطلاعاتISO/IEC 15408-Common Criteria: ارزیابی امنیتی محصولات فناوری اطلاعات
ISO/IEC 15408-Common Criteria: ارزیابی امنیتی محصولات فناوری اطلاعاتMahdi Sayyad
 
امنیت سامانه های کنترل صنعتی واسکادا-Industrial Control Systems Security
امنیت سامانه های کنترل صنعتی واسکادا-Industrial Control Systems Security امنیت سامانه های کنترل صنعتی واسکادا-Industrial Control Systems Security
امنیت سامانه های کنترل صنعتی واسکادا-Industrial Control Systems SecurityMahdi Sayyad
 

Mehr von Mahdi Sayyad (7)

ISO15408CC_ارزیابی امنیتی محصول.pdf
ISO15408CC_ارزیابی امنیتی محصول.pdfISO15408CC_ارزیابی امنیتی محصول.pdf
ISO15408CC_ارزیابی امنیتی محصول.pdf
 
Data Fusion model for web analytics
Data Fusion model for web analyticsData Fusion model for web analytics
Data Fusion model for web analytics
 
ِData Fusion and Log correlation tools & case-studies
ِData Fusion and Log correlation tools & case-studiesِData Fusion and Log correlation tools & case-studies
ِData Fusion and Log correlation tools & case-studies
 
data Fusion and log correlation
data Fusion and log correlationdata Fusion and log correlation
data Fusion and log correlation
 
ارزیابی امنیتی محصولات فناوری اطلاعات(ISO 15408 Common Criteria)- بخش دوم
ارزیابی امنیتی محصولات فناوری اطلاعات(ISO 15408 Common Criteria)- بخش دومارزیابی امنیتی محصولات فناوری اطلاعات(ISO 15408 Common Criteria)- بخش دوم
ارزیابی امنیتی محصولات فناوری اطلاعات(ISO 15408 Common Criteria)- بخش دوم
 
ISO/IEC 15408-Common Criteria: ارزیابی امنیتی محصولات فناوری اطلاعات
ISO/IEC 15408-Common Criteria: ارزیابی امنیتی محصولات فناوری اطلاعاتISO/IEC 15408-Common Criteria: ارزیابی امنیتی محصولات فناوری اطلاعات
ISO/IEC 15408-Common Criteria: ارزیابی امنیتی محصولات فناوری اطلاعات
 
امنیت سامانه های کنترل صنعتی واسکادا-Industrial Control Systems Security
امنیت سامانه های کنترل صنعتی واسکادا-Industrial Control Systems Security امنیت سامانه های کنترل صنعتی واسکادا-Industrial Control Systems Security
امنیت سامانه های کنترل صنعتی واسکادا-Industrial Control Systems Security
 

شناسایی بات نت های Fast-Flux با استفاده از تحلیل ناهنجاری DNS

  • 1. ‫راهنما‬ ‫استاد‬: ‫کریمی‬ ‫عباس‬ ‫دکتر‬ ‫ارائه‬‫دهنده‬: ‫صیاد‬ ‫مهدی‬ ‫شهریور‬93 ‫های‬ ‫نت‬ ‫بات‬ ‫شناسایی‬Fast-Flux‫از‬ ‫استفاده‬ ‫با‬ ‫ناهنجاری‬ ‫تحلیل‬DNS ‫اسالمی‬ ‫آزاد‬ ‫دانشگاه‬ ‫اراک‬ ‫واحد‬
  • 2. ‫مطالب‬ ‫خالصه‬ ‫مقدمه‬ ‫اهداف‬ ‫و‬ ‫مسئله‬ ‫بیان‬ ‫ها‬ ‫نت‬ ‫بات‬ ‫تهدیدات‬ ‫نت‬ ‫بات‬ ‫کنترل‬ ‫و‬ ‫فرماندهی‬ ‫ویژگی‬Fast-Flux‫نت‬ ‫بات‬ ‫در‬ ‫گذشته‬ ‫کارهای‬ ‫بر‬ ‫مروری‬ ‫پیشنهادی‬ ‫روش‬ ‫آینده‬ ‫کارهای‬ ‫و‬ ‫گیری‬ ‫نتیجه‬ ‫منابع‬ 2
  • 3. ‫مقدمه‬ ‫مهاجمین‬‫و‬‫هکرها‬‫در‬‫حال‬‫به‬‫روزرسانی‬‫و‬‫پیشرفت‬‫ه‬ ‫تر‬‫کردن‬‫تکنیک‬‫های‬‫خود‬‫به‬‫منظور‬‫حمله‬‫به‬ ‫زیرساخت‬،‫ها‬‫سازمان‬‫ها‬‫یا‬‫سرویس‬‫های‬‫اینترنتی‬ ‫در‬‫سطوح‬‫ملیتی‬‫و‬‫فرا‬‫ملیتی‬‫می‬‫باشند‬.‫انگ‬‫یزه‬‫این‬ ‫حمالت‬‫دیگر‬‫تنها‬‫کسب‬‫منفعت‬‫مالی‬‫نیست‬‫ب‬‫لکه‬ ‫اهداف‬‫سیاسی‬‫و‬‫ایدئولوژیکی‬‫را‬‫نیز‬‫دنبال‬‫می‬‫کند‬. ‫در‬‫بسیاری‬‫از‬‫حمالت‬،‫اینترنتی‬‫از‬‫بات‬‫نت‬‫به‬ ‫منظور‬‫افزایش‬‫تهداد‬‫میزبان‬‫های‬‫درگیر‬‫در‬‫یک‬ ‫حمله‬‫استفاده‬‫می‬‫شود‬. ‫این‬‫نوع‬‫حمالت‬‫یکی‬‫از‬‫چالش‬‫بر‬‫انگیز‬‫ترین‬ ‫تهدیدات‬‫پیش‬‫روی‬‫امنیت‬‫اینترنت‬‫و‬‫فضای‬ ‫سایبری‬‫است‬. ‫یک‬ ‫با‬ ‫مواجهه‬ ‫حال‬ ‫در‬ ‫سایبری‬ ‫و‬ ‫اینترنت‬ ‫فضای‬ ‫است‬ ‫تهدیدات‬ ‫پیچیدگی‬ ‫و‬ ‫نوع‬ ‫در‬ ‫انقالب‬ ‫و‬ ‫دگرگونی‬. 3 ‫حدود‬ ‫اصلی‬ ‫عامل‬ ‫ها‬ ‫نت‬ ‫بات‬77‫در‬ ‫شده‬ ‫ارسال‬ ‫های‬ ‫هرزنامه‬ ‫درصد‬ ‫ارسال‬ ،‫باشند‬ ‫می‬ ‫اینترنت‬10‫سال‬ ‫در‬ ‫هرزنامه‬ ‫بیلیون‬2010 ‫سال‬ ‫در‬ ‫مایکروسافت‬2010‫پاکسازی‬ ‫از‬6.5‫ماشین‬ ‫مورد‬ ‫میلیون‬ ‫داد‬ ‫خبر‬ ‫جهان‬ ‫سطح‬ ‫در‬ ‫بات‬ ‫به‬ ‫آلوده‬ ‫ویندوز‬. ‫از‬ ‫بات‬ ‫های‬ ‫ماشین‬ ‫تعداد‬ ‫افزایش‬3,100,000‫سال‬ ‫در‬2011‫به‬ 3,400,000‫درسال‬2012(،‫سیمانتک‬ ‫امنیتی‬ ‫گزارش‬2013) ‫حدود‬60‫سال‬ ‫در‬ ‫شده‬ ‫شناسایی‬ ‫موبایل‬ ‫بدافزارهای‬ ‫درصد‬2013‫عناصر‬ ‫دارای‬ ‫باشند‬ ‫می‬ ‫بزرگ‬ ‫یا‬ ‫کوچک‬ ‫های‬ ‫نت‬ ‫بات‬ ‫از‬ ‫هایی‬ ‫نشانه‬ ‫و‬(،‫کسپراسکی‬2014)
  • 4. ‫اهداف‬ ‫و‬ ‫مسئله‬ ‫بیان‬ 4 ‫یکی‬‫از‬‫شیوه‬‫های‬‫جدید‬‫مهاجمین‬‫به‬‫کارگیری‬‫تکنینک‬Fast-Flux،‫است‬‫که‬‫کارشناسان‬‫و‬‫متخصین‬ ‫امنیت‬‫را‬‫در‬‫شناسایی‬‫مرکز‬‫هدایت‬‫کننده‬‫حمالت‬‫و‬‫ماهیت‬‫حمله‬‫کننده‬‫دچار‬‫مشکل‬‫کرده‬‫است‬. ‫هکرها‬‫و‬‫سازندگان‬‫بات‬‫نت‬‫از‬‫تکنیک‬Fast-Flux‫هویت‬‫خود‬‫را‬‫مخفی‬‫کرده‬‫و‬‫کشف‬‫شدن‬‫شبکه‬‫بات‬ ‫نت‬‫را‬‫به‬‫تعویق‬‫انداخته‬‫یا‬‫حتی‬‫غیرممکن‬‫می‬‫کنند‬. ‫اهداف‬: ‫های‬ ‫نت‬ ‫بات‬ ‫های‬ ‫ویژگی‬ ‫و‬ ‫ساختار‬ ‫شناسایی‬Fast-Flux ‫تحلیل‬ ‫از‬ ‫استفاده‬ ‫با‬ ‫ناهنجار‬ ‫های‬ ‫ویژگی‬ ‫استخراج‬DNS‫های‬ ‫دامنه‬ ‫تمییز‬ ‫منظور‬ ‫به‬Fast-Flux‫مشروع‬ ‫از‬ ‫دامنه‬ ‫کشف‬ ‫منظور‬ ‫به‬ ‫روشی‬ ‫ارائه‬‫های‬Fast-Flux‫بات‬‫کننده‬ ‫هدایت‬ ‫مراکز‬ ‫شناسایی‬ ‫و‬ ‫ها‬ ‫نت‬. ‫بند‬ ‫طیقه‬ ‫از‬ ‫استفاده‬ ‫و‬ ‫ماشین‬ ‫یادگیری‬ ‫رویکرد‬SVM‫های‬ ‫کرنل‬ ،RBF،MLP Fast-Flux‫با‬ ‫مقابله‬ ‫راه‬ ‫سر‬ ‫بر‬ ‫جدید‬ ‫چالش‬ ،Botnet
  • 5. ‫وکلیات‬ ‫مفاهیم‬ ‫بات‬(bot)‫نت‬ ‫بات‬ ‫و‬(Bonet) ‫نت‬ ‫بات‬ ‫اجزای‬ ‫بات‬(‫یا‬Zombie) ‫کنترل‬ ‫و‬ ‫فرماندهی‬(C&C) ‫ارتباطی‬ ‫کانال‬ ‫مدیربات‬(Bot Master/Bot herder) ‫ارتباطی‬ ‫مکانیزم‬(Rallying) IRC-based P2P-Based HTTP-Based ‫نت‬ ‫بات‬ ‫یک‬ ‫پایه‬ ‫مدل‬ 5
  • 6. ‫ها‬ ‫نت‬ ‫بات‬ ‫تهدیدات‬ ‫کار‬ ‫چه‬ ‫نت‬ ‫بات‬ ‫بکند؟‬ ‫تواند‬ ‫می‬ ‫فیشینگ‬ ‫انکار‬ ‫حمالت‬ ‫سرویس‬ ‫هویت‬ ‫سرقت‬ ‫هرزنامه‬ ‫ابزار‬ ‫تبلیغ‬‫کلیک‬ ‫جعل‬ ‫ابزار‬ ‫جاسوس‬ ‫بدافزار‬ ‫انتشار‬ ‫جدید‬ ‫سمع‬ ‫استراق‬ ‫شبک‬ ‫ترافیک‬‫ه‬ 6
  • 7. ‫ها‬ ‫نت‬ ‫بات‬ ‫کنترل‬ ‫و‬ ‫فرماندهی‬ ‫ساختار‬ ‫با‬ ‫ها‬ ‫بات‬ ‫ارتباط‬ ‫بندی‬ ‫هم‬ ‫نحوه‬ ‫اساس‬ ‫بر‬ ‫را‬ ‫ها‬ ‫نت‬ ‫بات‬C&C‫کنند‬ ‫می‬ ‫بندی‬ ‫تقسیم‬. ‫متمرکز‬:‫کن‬ ‫می‬ ‫برقرار‬ ‫مرکزی‬ ‫اتصال‬ ‫نقطه‬ ‫چند‬ ‫یا‬ ‫یک‬ ‫به‬ ‫را‬ ‫خود‬ ‫ارتباطی‬ ‫کانال‬ ‫ها‬ ‫بات‬‫ند‬.‫نقاط‬ ‫سرورهای‬ ‫را‬ ‫مرکزی‬ ‫اتصال‬C&C‫دهند‬ ‫می‬ ‫تشکیل‬. SDBot،RxBot،Rustock،Pusho،Sribzi،Zeus،Asprox،Bobax،Kraken،Torpig ‫غیرمتمرکز‬(‫نظیر‬ ‫به‬ ‫نظیر‬:)‫ندارد‬ ‫وجود‬ ‫متمرکز‬ ‫سرور‬.‫ماشی‬ ‫از‬ ‫لیستی‬ ‫بات‬ ‫ماشین‬ ‫هر‬‫های‬ ‫ن‬ ‫مجاور‬(Seed)‫دهد‬ ‫می‬ ‫مجاورانتشار‬ ‫های‬ ‫ماشین‬ ‫به‬ ‫را‬ ‫دریافتی‬ ‫فرامین‬ ‫و‬ ‫دارد‬ ‫اختیار‬ ‫در‬ ‫را‬. Phatbot،Slapper،Peacomm،Mega-D،Conficker،TLD-4 ‫ترکیبی‬:‫بات‬ ‫مختلف‬ ‫های‬ ‫الیه‬ ‫از‬ ‫استفاده‬. ‫برده‬ ‫های‬ ‫بات‬ ‫الیه‬(Slave: )‫بدخواهانه‬ ‫اهداف‬ ‫برای‬ ‫خدمتگزار‬ ‫الیه‬(Servant:)‫ها‬ ‫بروزرسانی‬ ‫و‬ ‫فرامین‬ ‫دریافت‬ ‫برای‬ ‫سرورهای‬ ‫الیه‬C&C:‫بات‬ ‫مدیر‬ ‫اصلی‬ ‫فرامین‬ ‫و‬ ‫ها‬ ‫فایل‬ ‫نگهداری‬. Storm،Waledac ‫یافته‬ ‫ساخت‬ ‫غیر‬ ‫یا‬ ‫تصادفی‬:‫سرورهای‬ ‫به‬ ‫ها‬ ‫بات‬C&C‫فالگوش‬ ‫حالت‬ ‫در‬ ‫بلکه‬ ‫ندارند‬ ‫اتصال‬ ‫شوند‬ ‫می‬ ‫فرامین‬ ‫یافت‬ ‫در‬ ‫منتظر‬ ‫شبکه‬ ‫در‬.‫شبک‬ ‫بات‬ ‫به‬ ‫فرامین‬ ‫ارسال‬ ‫برای‬ ‫بات‬ ‫مدیر‬‫پویش‬ ‫را‬ ‫ه‬ ‫کند‬ ‫می‬ ‫انتخاب‬ ‫خود‬ ‫فرامین‬ ‫ارسال‬ ‫برای‬ ‫را‬ ‫زامبی‬ ‫ماشین‬ ‫یک‬ ‫و‬ ‫کرده‬. ‫است‬ ‫نشده‬ ‫روئت‬ ‫کنون‬ ‫تا‬.‫آینده‬ ‫های‬ ‫نت‬ ‫بات‬ ‫برای‬ ‫مدلی‬. 7
  • 8. ‫ها‬ ‫نت‬ ‫بات‬ ‫کنترل‬ ‫و‬ ‫فرماندهی‬ ‫ساختار‬ ‫متمرک‬ ‫نت‬ ‫بات‬ ‫معماری‬‫ز‬ ‫غیرمتمرکز‬ ‫نت‬ ‫بات‬ ‫معماری‬(P2P) 8
  • 9. ‫ها‬ ‫نت‬ ‫بات‬ ‫کنترل‬ ‫و‬ ‫فرماندهی‬ ‫ساختار‬ ‫ن‬ ‫بات‬ ‫در‬ ‫ترکیبی‬ ‫معماری‬‫ت‬ 9
  • 10. ‫نت‬ ‫بات‬ ‫حیات‬ ‫چرخه‬ 1.‫اولیه‬ ‫آلودگی‬ 2.‫ثانویه‬ ‫تزریق‬ 3.‫یا‬ ‫اتصال‬rally‫به‬ ‫کنترل‬ ‫مرکز‬ 4.‫های‬ ‫فعالیت‬ ‫انجام‬ ‫مخرب‬ 5.‫نگهدار‬ ‫و‬ ‫بروزرسانی‬‫ی‬ 10
  • 11. ‫های‬ ‫نت‬ ‫بات‬Fast-Flux ‫فرماندهای‬ ‫و‬ ‫کنترل‬ ‫سرور‬ ‫یافتن‬: .1‫آدرس‬/‫آدرس‬ ‫لیست‬IP‫ثابت‬(‫ضعیف‬) .2DSN Lookup‫سرور‬C&C(‫اطمینان‬ ‫قابل‬) ‫ویژگی‬Fast-Flux: ‫تعریف‬(1:)‫سرویس‬ ‫یک‬ ‫مکانی‬ ‫موقعیت‬ ‫سریع‬ ‫تغییر‬ ‫قابلیت‬Web،Email، DNS‫ی‬ ‫از‬ ‫شده‬ ‫توزیع‬ ‫یا‬ ‫اینترنت‬ ‫بر‬ ‫مبتنی‬ ‫سرویس‬ ‫هر‬ ‫کلی‬ ‫طور‬ ‫به‬ ‫و‬‫یا‬ ‫ک‬ ‫ه‬ ‫با‬ ‫دیگر‬ ‫های‬ ‫رایانه‬ ‫از‬ ‫ای‬ ‫مجموعه‬ ‫به‬ ‫اینترنت‬ ‫به‬ ‫متصل‬ ‫کامپیوتر‬ ‫چند‬‫دف‬ ‫شدن‬ ‫شناسایی‬ ‫از‬ ‫جلوگیری‬ ‫یا‬ ‫تاخیر‬. ‫تعریف‬(2:)‫فیلد‬ ‫مکرر‬ ‫و‬ ‫سریع‬ ‫تغییر‬A‫ویا‬NS‫یک‬ ‫در‬DNS Zone‫که‬ ، ‫مکان‬ ‫تغییر‬ ‫به‬ ‫منجر‬(‫آدرس‬IP)‫کارگذار‬‫نام‬‫دامنه‬(NS)‫یا‬‫میزبان‬ ‫یک‬ ‫اینترنت‬(Internet Host)‫شود‬ ‫می‬(‫دستکاری‬ ‫از‬ ‫استفاده‬ ‫با‬TTL‫رکورد‬ ‫در‬ DNS.) 11
  • 12. ‫های‬ ‫نت‬ ‫بات‬Fast-Flux ‫بات‬‫نت‬‫ها‬‫از‬‫ویژگی‬Fast-Flux‫به‬‫منظور‬‫جلوگیری‬‫از‬‫شناسایی‬‫شدن‬ C&C‫و‬‫افزایش‬‫مقاومت‬‫زیر‬‫ساخت‬‫شبکه‬‫بات‬‫نت‬‫استفاده‬‫می‬‫کن‬‫ند‬. ‫انواع‬Fast-Flax Single-Flux:‫استفاده‬‫از‬‫سرورهای‬‫نام‬‫ثابت‬‫برای‬‫بروزرسانی‬‫رکوردهای‬DNS(‫تغییر‬‫فیلد‬A) Double-Flux:‫استفاده‬‫از‬‫سرورهای‬‫نام‬‫متغییر‬‫برای‬‫پاسخ‬‫های‬DNS(‫تغییر‬‫فیلد‬NS) Domain-Flux:‫نام‬‫های‬‫دامنه‬‫به‬‫صورت‬‫مداوم‬‫تغییر‬‫می‬‫کند‬.‫تعداد‬ ‫زیادی‬‫نام‬‫دامنه‬‫در‬‫کد‬‫اجرایی‬‫بات‬‫قرار‬‫داده‬‫می‬‫شود‬. ‫دامنه‬‫ها‬‫با‬‫الگوریتمی‬‫موسوم‬‫به‬Domain Generation Algorithm‫تولید‬‫می‬‫شوند‬. ‫مدیر‬‫بات‬‫لیست‬‫مشابهی‬‫از‬‫نام‬‫های‬‫دامنه‬‫را‬‫در‬‫اختیار‬‫دارد‬‫اما‬‫یک‬‫یا‬‫برخی‬‫از‬‫آنها‬‫ثبت‬‫ش‬‫ده‬ ‫است‬. 12 Asprox Conficker-Ctropig
  • 13. ‫دامنه‬ ‫یک‬ ‫از‬ ‫دریافتی‬ ‫پاسخ‬Fast-Flux ‫دامنه‬ ‫یک‬ ‫از‬ ‫دریافتی‬ ‫پاسخ‬Fast-Flux(‫از‬ ‫استفاده‬ ‫با‬Dig) 13
  • 14. ‫و‬ ‫وب‬ ‫شبکه‬ ‫در‬ ‫درخواست‬ ‫مقایسه‬Single-flux 14
  • 16. ‫گذشته‬ ‫کارهای‬ ‫بر‬ ‫مروری‬ (‫نت‬ ‫بات‬ ‫شناسایی‬ ‫های‬ ‫روش‬) 16 IRCP2PSNMPDNS
  • 17. ‫پیشنهادی‬ ‫روش‬ 17 ‫مسئله‬‫گیری‬ ‫تصمیم‬: ‫قواعد‬ ‫مجموعه‬ ‫بر‬ ‫مبتنی‬ ‫شناسایی‬(Rule Set Based)-‫مانند‬IDS ‫ماشین‬ ‫یادگیری‬(Machin Learning)-‫پیشنهادی‬ ‫رویکرد‬ ‫تشخیص‬ ‫منظور‬ ‫به‬ ‫ماشین‬ ‫یادگیری‬ ‫رویکرد‬ ‫از‬ ‫استفاده‬C&C‫های‬Fast-Flux‫عادی‬ ‫از‬(‫مسئله‬2‫کالسه‬) ‫بند‬ ‫طبقه‬SVM،RBF،MLP
  • 18. ‫داده‬ ‫آوری‬ ‫جمع‬ ‫یادگیری‬ ‫داده‬ ‫مجموعه‬: ‫داده‬ ‫مجموعه‬Fast-Flux:‫عنوان‬ ‫یه‬ ‫شده‬ ‫شناسایی‬Fast-Flux-‫پایگاه‬ ‫از‬Security Information Exchange (SIE)،kraken،Tropig،Conficker،Zeus،Spam ‫مشروع‬ ‫داده‬ ‫مجموعه‬(benign:)‫مشروع‬ ‫دامنه‬ ‫عنوان‬ ‫به‬ ‫شده‬ ‫شناسایی‬-‫از‬Alexa top 1000 ‫ابزار‬ ‫از‬ ‫استفاده‬dig‫ها‬ ‫دامنه‬ ‫پاسخ‬ ‫اطالعات‬ ‫آوری‬ ‫جمع‬ ‫برای‬. ‫تست‬ ‫داده‬ ‫مجموعه‬:‫عنوان‬ ‫به‬ ‫شده‬ ‫شناسایی‬ ‫و‬ ‫تحلیل‬ ‫تست‬ ‫های‬ ‫داده‬Fast-Flux‫از‬ www.malwaredomainlist.com‫مشروع‬ ‫های‬ ‫دامنه‬ ‫و‬ 18 Data-set Volume Category Fast-Flux Domains 2200 TRAINING DATASET Legitimate Domains 2000 Unkhnown Domains 2000 TESTING DATASET
  • 19. ‫ها‬ ‫ویژگی‬ ‫انتخاب‬ ‫ها‬‫ویژگی‬ ‫دسته‬‫ها‬‫ویژگی‬ ‫نام‬‫ویژگی‬ ‫هر‬ ‫تعداد‬ ‫زمان‬ ‫بر‬ ‫مبتنی‬ ‫های‬‫ویژگی‬ ‫زمان‬Query‫هر‬ ‫در‬dig ‫زمان‬ ‫اختالف‬Query‫دو‬ ‫در‬dig 2 1 ‫پاسخ‬ ‫بر‬ ‫مبتنی‬ ‫های‬‫ویژگی‬ ‫در‬ ‫دریافتی‬ ‫های‬‫پاسخ‬ ‫تعداد‬Answer،Authority‫و‬Additional ‫قسمت‬ ‫های‬‫پاسخ‬ ‫تعداد‬ ‫اختالف‬Authority‫و‬Additional ‫دریافتی‬ ‫پیغام‬ ‫طول‬ 6 2 1 ‫زمان‬ ‫بر‬ ‫مبتنی‬ ‫های‬‫ویژگی‬TTL ‫های‬‫زمان‬ ‫میانگین‬TTL‫کل‬ ‫طور‬ ‫به‬ ‫و‬ ‫قسمت‬ ‫هر‬ ‫در‬ ‫ها‬ ‫های‬‫زمان‬ ‫واریانس‬TTL‫کل‬ ‫طور‬ ‫به‬ ‫و‬ ‫قسمت‬ ‫هر‬ ‫در‬ ‫ها‬ 8 8 ‫دامن‬ ‫نام‬ ‫بر‬ ‫مبتنی‬ ‫های‬‫ویژگی‬‫ه‬ ‫نام‬ ‫در‬ ‫موجود‬ ‫حروف‬ ‫کل‬ ‫تعداد‬ ‫نام‬ ‫در‬ ‫موجود‬ ‫اعداد‬ ‫درصد‬ Bi-Gram 1 1 20 ‫ها‬‫ویژگی‬ ‫کل‬ ‫مجموع‬50 19
  • 20. ‫با‬ ‫نتایج‬50‫اولیه‬ ‫ویژگی‬ 20 False-PositiveFalse-Negative‫دقت‬‫یادگیری‬ ‫زمان‬/‫تست‬‫بندی‬ ‫طبقه‬ ‫زمان‬ SVM0.8%1.2%99%8.8288/17.64590.0027 SVM‫کرنل‬ ‫با‬RBF0.055%2.1%98.68%13.2467/17.92980.0033 SVM‫با‬‫کرنل‬MLP1.15%4.45%97.2%9.6041/10.22710.0026 ‫شده‬ ‫انجام‬ ‫بینی‬‫پیش‬ ‫واقعی‬‫کالس‬ 𝐿𝑒𝑔𝑖𝑡𝑖𝑚𝑎𝑡𝑒 𝐹𝑎𝑠𝑡 − 𝐹𝑙𝑢𝑥 𝐿𝑒𝑔𝑖𝑡𝑖𝑚𝑎𝑡𝑒 1977 23 𝐹𝑎𝑠𝑡 − 𝐹𝑙𝑢𝑥 89 1911 ‫جدول‬Confusion
  • 22. ‫ها‬ ‫ویژگی‬ ‫بررسی‬ ‫های‬‫ویژگی‬‫با‬‫دقت‬‫باالی‬60%: ‫شماره‬33:‫که‬‫مربوط‬‫به‬‫ویژگی‬‫سوم‬‫دسته‬‫های‬‫ویژگی‬bi-gram(‫پسوند‬‫دامنه‬)‫است‬.‫به‬‫تنهایی‬86.3%‫دقت‬‫برای‬ SVM‫داشته‬‫است‬.‫دامنه‬‫های‬Fast-Flux‫اغلب‬‫دارای‬‫دامنه‬‫سه‬‫حرفی‬‫اند‬(.com, .net‫و‬...). ‫شماره‬29:‫تعداد‬‫کل‬‫های‬‫کاراکتر‬‫دامنه‬‫که‬‫در‬‫های‬‫نمونه‬‫مشروع‬‫ها‬‫دامنه‬‫دارای‬‫های‬‫اسم‬‫تر‬‫کوتاه‬‫هستند‬. ‫شماره‬5:‫تعداد‬‫های‬‫پاسخ‬‫بخش‬Answer‫در‬dig‫دوم‬ ‫شماره‬4:‫تعداد‬‫های‬‫پاسخ‬‫بخش‬Answer‫در‬dig‫اول‬ ‫شماره‬12:‫طول‬‫پیغام‬‫دریافتی‬ ‫شماره‬2:‫زمان‬Query‫در‬dig‫دوم‬ ‫شماره‬17:‫میانگین‬‫های‬‫زمان‬TTL‫قسمت‬Authority‫در‬dig‫اول‬ ‫شماره‬25:‫میانگین‬‫کل‬‫های‬‫زمان‬TTL‫در‬dig‫اول‬ 22
  • 23. ‫دقت‬ ‫براساس‬ ‫ها‬ ‫ویژگی‬ ‫جدول‬ 23 Score Feature Name Feature Index 1 'Bi-gram Index3' 33 2 'Length of Domain Name' 29 3 'Number of Answer dig2' 5 4 'Number of Answer dig1' 4 5 'Length of Message Received' 12 6 'Query Time dig2' 2 7 'Average of TTL Time Authority dig1' 17 8 'Average of TTL Time Total dig1' 25 9 'Average of TTL Time Authority dig2' 18 10 'Number of Authority dig2' 7 11 'Average of TTL Time Total dig2' 26 12 'Number of Authority dig1' 6 13 'Percentage of Digits in Domain Name' 30 14 'Difference of Authority and Additional dig2' 11 15 'Bi-gram Index1' 31 16 'Number of Additional dig1' 8 17 'Average of TTL Time Additional dig2' 22 18 'Bi-gram Index12' 42 19 'Query Time dig1' 1 20 'Variance of TTL Time Additional dig1' 23 21 'Bi-gram Index15' 45 22 'Bi-gram Index16' 46 23 'Bi-gram Index5' 35 24 'Bi-gram Index18' 48 Score Feature Name Feature Index 26 'Bi-gram Index10' 40 27 'Bi-gram Index2' 32 28 'Bi-gram Index8' 38 29 'Bi-gram Index17' 47 30 'Bi-gram Index7' 37 31 'Bi-gram Index9' 39 32 'Bi-gram Index14' 44 33 'Bi-gram Index19' 49 34 'Query Time Difference' 3 35 'Bi-gram Index4' 34 36 'Bi-gram Index20' 50 37 'Bi-gram Index11' 41 38 'Number of Additional dig2' 9 39 'Variance of TTL Time Answers dig1' 15 40 'Variance of TTL Time Answers dig2' 16 41 'Average of TTL Time Answers dig1' 13 42 'Average of TTL Time Answers dig2' 14 43 'Variance of TTL Time Authority dig1' 19 44 'Variance of TTL Time Authority dig2' 20 45 'Variance of TTL Time Additional dig2' 24 46 'Variance of TTL Time Total dig1' 27 47 'Variance of TTL Time Total dig2' 28 48 'Difference of Authority and Additional dig1' 10 49 'Bi-gram Index13' 43
  • 24. ‫برای‬ ‫ها‬ ‫ویژیگی‬ ‫بررسی‬SVM 29‫دقت‬ ‫به‬ ‫برتر‬ ‫ویژگی‬99.05%‫است‬ ‫رسیده‬ 24
  • 25. ‫بررسی‬‫ویژگی‬‫برای‬ ‫ها‬RBF ‫با‬38‫بیشینه‬ ‫دقت‬ ‫به‬ ‫برتر‬ ‫ویژگی‬97.48%‫رسیده‬‫است‬ 25
  • 26. ‫برای‬ ‫ها‬ ‫ویژگی‬ ‫بررسی‬MLP ‫با‬38‫بیشینه‬ ‫دقت‬ ‫به‬ ‫برتر‬ ‫ویژگی‬97.48%‫است‬ ‫رسیده‬ 26
  • 27. ‫ها‬ ‫ویژگی‬ ‫کاهش‬ (‫ها‬ ‫ویژگی‬ ‫حداقل‬ ‫بهترین‬ ‫به‬ ‫نیاز‬) 27 ‫ویژگی‬‫های‬‫بهینه‬-‫دارای‬‫بیشترین‬‫اطالعات‬‫در‬‫تشخیص‬‫دامنه‬‫های‬Fast-Flux ‫تعداد‬‫بهینه‬‫ها‬‫ویژگی‬38‫عدد‬‫و‬‫نوع‬‫آنها‬38‫ویژگی‬‫اول‬‫موجود‬‫در‬‫جدول‬‫هستند‬‫که‬‫توانند‬‫می‬‫بهترین‬‫نتیجه‬‫را‬‫به‬‫طور‬‫کلی‬‫در‬‫اختیار‬ ‫بگذارند‬‫و‬‫این‬‫به‬‫معنای‬‫قرار‬‫داشتن‬‫مهمترین‬‫اطالعات‬‫برای‬‫تشخیص‬Fast-Flux‫بودن‬‫یک‬‫دامنه‬‫در‬‫این‬‫ویژگی‬‫ها‬‫است‬. ‫با‬15‫ویژگی‬‫برتر‬‫هردو‬‫کرنل‬RBF‫و‬MLP‫به‬‫دقتی‬‫بیش‬‫از‬95%‫دست‬‫اند‬‫یافته‬‫که‬‫در‬‫نمودار‬CCR‫هردو‬‫کرنل‬‫در‬ ‫این‬‫نقطه‬‫جهش‬‫دیده‬‫شود‬‫می‬(SVM‫معمولی‬‫با‬29‫ویژگی‬‫به‬‫همگرایی‬‫رسید‬). ‫پس‬‫با‬‫مینیمم‬‫ویژگی‬15‫می‬‫توان‬‫به‬‫دقت‬‫بیش‬‫از‬95‫در‬‫تشخیص‬‫دامنه‬‫های‬Fast-Flux‫دست‬‫یافت‬. ‫بهینه‬ ‫های‬ ‫ویژگی‬ ‫حداقل‬‫ها‬ ‫ویژگی‬ 38 15 ‫تعداد‬ 98/3% 95% ‫دقت‬ ‫بهتری‬ ‫حداقل‬‫ن‬
  • 28. ‫یافته‬ ‫کاهش‬ ‫های‬ ‫ویژگی‬ ‫با‬ ‫ارزیابی‬ 28 ‫جدول‬‫الگوریتم‬ ‫ارزیابی‬ ‫پیشنهادی‬ ‫دقت‬‫بهبود‬‫یادگیری‬ ‫زمان‬/‫تس‬‫ت‬‫بندی‬ ‫طبقه‬ ‫زمان‬ ‫بر‬ ‫مبتنی‬ ‫پیشنهادی‬ ‫روش‬ SVM (29‫ویژگی‬) 99.5%12.5%17.65/8.830.0025 ‫روش‬SVM‫کرنل‬ ‫با‬RBF (15‫ویژگی‬) 96%9%13.17/11.900.0030 ‫روش‬SVM‫کرنل‬ ‫با‬MLP (15‫ویژگی‬) 94%7%17/11.250.0020 ‫پیشین‬ ‫روش‬(Stalman)87%--- ‫زمان‬ ‫و‬ ‫دقت‬ ‫لحاظ‬ ‫از‬ ‫پیشنهادی‬ ‫های‬‫روش‬ ‫مقایسه‬ ‫دقت‬‫بر‬ ‫مبتنی‬ ‫پیشنهادی‬ ‫روش‬SVM‫دقت‬ ‫بهترین‬ ‫زمان‬ (‫یادگیری‬/‫تست‬/‫بندی‬ ‫طقه‬) ‫بر‬ ‫مبتنی‬ ‫پیشنهادی‬ ‫روش‬MLP‫زمان‬ ‫بهترین‬
  • 29. ‫دستاوردها‬ ‫و‬ ‫نتایج‬ 29 ‫های‬ ‫شبکه‬ ‫و‬ ‫ها‬ ‫نت‬ ‫بات‬ ‫تشخیص‬ ‫در‬ ‫بهینه‬ ‫های‬ ‫ویژگی‬ ‫استخراج‬Fast- Flux ‫نت‬ ‫بات‬ ‫های‬ ‫دامنه‬ ‫تشخیص‬ ‫منظور‬ ‫به‬ ‫روش‬ ‫یک‬ ‫ارائه‬Fast-Flux‫از‬ ‫مشروع‬ ‫روش‬ ‫بودن‬ ‫برخط‬ ‫و‬ ‫هوشمندی‬ ‫قابلیت‬ ‫نت‬ ‫بات‬ ‫کانال‬ ‫نوع‬ ‫و‬ ‫ارتباطی‬ ‫ساختار‬ ‫از‬ ‫مستقل‬(،‫غیرمتمرکز‬ ،‫متمرکز‬http،p2p) ‫زمانی‬ ‫های‬ ‫ویژگی‬ ‫گرفتن‬ ‫نظر‬ ‫در‬(TTL)‫قابلیت‬ ‫شناسایی‬ ‫در‬ ‫که‬Fast-Flux ‫است‬ ‫موثرتر‬(‫پیشین‬ ‫های‬ ‫پژوهش‬ ‫در‬ ‫بکارگیری‬ ‫عدم‬) ‫زبانی‬ ‫های‬ ‫ویژگی‬ ‫از‬ ‫استفاده‬(bi-gram)-(‫های‬ ‫پژوهش‬ ‫در‬ ‫بکارگیری‬ ‫عدم‬ ‫پیشین‬) ‫شناسایی‬ ‫قابلیت‬Single-Flux‫و‬Double-Flux‫همزمان‬ ‫گذشته‬ ‫کار‬ ‫با‬ ‫مقایسه‬ ‫در‬ ‫شناسایی‬ ‫روش‬ ‫بهبودن‬
  • 30. ‫آینده‬ ‫کارهای‬ 30 ‫از‬ ‫مستقل‬ ‫راهکار‬ ‫ارائه‬ ‫و‬ ‫تاخیر‬ ‫بهبود‬dig ‫های‬ ‫نت‬ ‫بات‬ ‫شناسایی‬Domain-Flux ‫آینده‬ ‫های‬ ‫نت‬ ‫بات‬ ‫موبایل‬ ‫های‬ ‫شبکه‬(SMS-Based Botnet‫و‬)... ‫نظیر‬ ‫به‬ ‫نظیر‬ ‫های‬ ‫شبکه‬ ‫بر‬ ‫مبتنی‬(P2P botnet) ‫ابرپردازش‬ ‫بر‬ ‫مبتنی‬(Cloud-Based Botnet)
  • 31. ‫منابع‬  Messagelabs intelligence: 2010 annual security report. Technical report, Symantec Corp., 2010.  Battling botnets for control of computers—microsoft security intelligence report.Technical report, Microsoft Corp., Jan to June 2010.  E. Stalmans, A Framework for DNS Based Detection and Mitigation of Malware Infections on a Network, Information Security South Africa Conference, 2011.  N. Jiang, J. Cao, Y. Jin, L.E. Li, Z. Zhang, Identifying suspicious activities through DNS failure graph analysis, in: 18th IEEE International Conference on Network Protocols (ICNPs), 2010.  D. Plohmann, E. Gerhards-Padilla, F. Leder, Botnets: Detection,Measurement, Disinfection & Defence, Technical Report, The European Network and Information Security Agency, 2011.  Nhauo Davuth and Sung-Ryul Kim, Classification of Malicious Domain Names using Support Vector Machine and Bi- gram Method, International Journal of Security and Its Applications,Vol. 7, No. 1, 2013  L. Bilge, E. Kirda, C. Kruegel, M. Balduzzi, EXPOSURE: Finding Malicious Domains Using Passive DNS Analysis, In ACM Conference on Computer and Communication Security (CCS), 2011.  R. Villamarn-Salomn and J. C. Brustoloni. Bayesian bot detection based on DNS traffic similarity. In SAC’09: ACM symposium on Applied Computing, 2009.  T.Holz, C. Gorecki, K. Rieck, and F.C. Freiling. Measuring and Detecting Fast-Flux Service Networks. In Annual Network and Distributed System Security Symposium (NDSS), 2008  Mark Felegyhazi, Christian Kreibich, and Vern Paxson. On the potential of proactive domain blacklisting. In Proceedings of the Third USENIX Workshop on Large-scale Exploits and Emergent Threats (LEET),San Jose, CA, USA, April 2010.  Hyunsang Choi, Heejo Lee, Identifying botnets by capturing group activities in DNS traffic, journal of Computer Security, Elsevier,2012.  A.M. Manasrah, A. Hasan, O.A. Abouabdalla, S. Ramadass, Detecting Botnet Activities Based on Abnormal DNS traffic, International Journal of Computer Science and Information Security (IJCSIS), 2009. 31
  • 32. ‫ش‬ ‫توجه‬ ‫از‬ ‫تشکر‬ ‫با‬‫ما‬ Email: Mehdi.Sayad@yahoo.com ‫محترم‬ ‫داوران‬ ‫و‬ ‫اساتید‬ ‫از‬ ‫ویژه‬ ‫سپاس‬ ‫و‬ ‫راهنما‬ ‫استاد‬: ‫کریمی‬ ‫عباس‬ ‫دکتر‬ September, 2014