رفتارها می توانند مستقیماً درون ماشین آلوده شده رها شوند (این روش رفتار مبتنی بر میزبان نامیده می شود). وقتی یک ربات روی یک میزبان مستقر می شود، فعالیت نرم افزار را به خطر می اندازد. (مثلاً خاموش کردن AV یا جلوگیری از مرور کاربر روی یک سرور خاص). برای این کار، ربات ها از یک فراخوانی سیستم / کتابخانه استفاده می کنند که می تواند رجیستر را دستکاری کرده و شبکه ها یا برنامه ها را ایجاد و یا حذف کند. متخصصان کارآزموده با دانش امنیتی می توانند شبکه های رباتی را شناسایی کنند: افرادی با این دانش می توانند حوزه هایی که در آن احتمال آلودگی زیاد است را شناسایی کنند. مثلاً اگر یکی از میزبان ها در شبکه مشکل به روز رسانی تعریف ویروس خود را داشته باشد. (۱۴)

( اینجا فقط تکه ای از متن فایل پایان نامه درج شده است. برای خرید متن کامل پایان نامه با فرمت ورد می توانید به سایت feko.ir مراجعه نمایید و کلمه کلیدی مورد نظرتان را جستجو نمایید. )

رفتارهای همبسته جهانی
ویژگی های جهانی به اصول شبکه های رباتی گره خورده است و می تواند برای یک شناسایی موثر استفاده شود. این ویژگی ها قصد تغییر ندارند مگر اینکه شبکه رباتی به طور کامل مجدداً طراحی و پیاده سازی شود. برای مثال، یک رفتار معروف وقتی یک سرور C&C خاموش می شود شناخته شده است: هر ربات می خواهد قطع ارتباط کرده و با سرور DNS به منظور بازیابی یک آدرس سرور C&C ارتباط برقرار کند. بنابراین، افزایش در جستارهای DNS می تواند در شبکه به چشم بخورد که هشدار ابزارهای شناسایی نفوذ را می دهد. (۱۴)
تحلیل سه ربات
مطالب زیر شامل سه ربات متداول در اینترنت است که برای به خطر انداختن کامپیوترها استفاده می شود.
زئوس (Zeus)
زئوس با ۶/۳ میلیون میزبان تخریب شده، متداول ترین ربات است. این ربات می تواند هر اطلاعاتی را از کامپیوترهای قربانی به سرقت ببرد و با زبان C++ نوشته شده است. آخرین نسخه زئوس (سپتامبر ۲۰۰۹) از یک فایل پیکربندی شده رمزگذاری شده با بهره گرفتن از یک کلید واحد استفاده می کند. این کلید با RC4 رمزگذاری می شود (با طول ۲۵۴) و درون فایل اجرایی ربات ذخیره می شود که پیکربندی فایل را برای رمزگشایی دشوار می سازد. یک ویژگی خودتخریبی که معمولاً در تروجان بانکی استفاده می شود پیاده سازی می شود. وقتی که اطلاعات عمده خصوصی جمع آوری شد، شبکه رباتی می تواند خودش را تخریب کند؛ اما این خودتخریبی می تواند برای بازنویسی حافظه مجازی ویندوز با صفر ها نیز استفاده شود و سیستم عامل را از کار بیندازد. در آوریل گذشته، تقریباً ۱۰۰ هزار کامپیوتر شخصی توسط زئوس آلوده شدند و زئوس خودش را ظاهراً نابود کرد. امروزه، چندین نسخه از زئوس در بازار موجود است. زئوس یک محصول تجاری است: یک نسخه به روز که حدود £۶۰۰ فروخته می شود و پس از چند ماه این نسخه به طور رایگان توزیع گردید.
توزیع زئوس با اسپمینگ و به وسیله تعداد زیادی از ترفندهای مهندسی اجتماعی گسترش می یابد.
هنگامی که یک کامپیوتر آلوده می شود، نصب زئوس از طریق تعدادی از گام های مختلف که می توانند بر طبق عمکرد نسخه انجام می شود. شکل ۳ واسط وب استفاده شده توسط زئوس به منظور کنترل خونخواران را نشان می دهد: امکان نمایش لیست ربات ها برای آن وجود دارد، دسترسی به هر ربات منحصر به فرد را دارد، اسکریپت های جدید اضافه می کند، رمز عبورهای به دام انداخته شده و گزینه های سیستم و بسیاری چیزهای دیگر را می بیند. کنترل یک ارتش متشکل از هزاران ربات دیگر پیچیده نیست، واسط وب واقعاً آسان و بصری است که آن را برای تقریباً همگان قابل استفاده ساخته است. (۱۸) (۱۹)
شکل ۵ – شاخص کنترل زئوس (۱۹)
کوب فیس^[۱۷]
این ربات ۹/۲ میلیون کامپیوتر را در آمریکا به خطر می اندازد. هدف اصلی این نرم افزار مخرب انتشار و گسترش از طریق ۱۰ سایت شبکه اجتماعی بصری از جمله تویتر (Twitter)، مای اسپیس (Myspace) و عمدتاً فیس بوک (Facebook) است. سایت های شبکه اجتماعی توسط افراد برای ارتباط و به اشتراک گذاری داده های شخصی با یکدیگر استفاده می شوند. آن ها به یک معدن طلا برای صنعت تبلیغات تبدیل شده اند: فیس بوک اطلاعات محرمانه معینی را از کاربرانش برای کمک به صنعت تبلیغات برای هدف قرار دادن مخاطبان منتشر می کند.
کرم کوب فیس (KOOBFACE) ترکیبی از چند نرم افزار مخرب با عملکردهای خاص است. اولین نرم افزار دانلودکننده کوب فیس (KOOBFACE Downloader) است که خودش را از طریق یوتیوب (YouTube) جعلی و ساختگی منتشر می کند.
کاربران دعوت به نصب کدک آلوده (infected codec) برای دیدن ویدئوی مربوطه می شوند. وقتی کامپیوتر آلوده شد، شروع به جستجوی کوکی های (Cookies) مرتبط با سایت های شبکه اجتماعی می کند.
اگر کرم، کوکی امنیتی مناسب را پیدا کند، یک لینک به ویدئوی آلوده در پروفایل فرد قربانی می سازد تا بیننده ها را برای دنبال کردن آن فریب دهد.
کوب فیس دانلودر (KOOBFACE Downloader) همچنین با سرور C&C کوب فیس به منظور بازیابی نرم افزارهای مخرب بعدی ارتباط برقرار می کند.
یک عنصر انتشار شبکه مجازی، نرم افزاری است که مسئول نوشتن پیام ها در پروفایل، ایمیل ها و پیام های لحظه ای (IM) به لیست دوستان کاربران بدشانس با لینک هایی به ویدئوهای جعلی است.
یک مولفه وب سرور باعث می شود تا کامپیوتر آلوده تبدیل به وب سروری شود که به عنوان یک پروکسی سرور یا سرور عمل می کند تا مولفه های کوب فیس را توزیع کند.
یک تبلیغ دهنده رجیستری ویندوز را آلوده کرده و به طور خودکار پنجره های مرورگر وب را باز می کند و چند تبلیغ را ادغام می کند.
یک دزد اطلاعات، ID های محصولات ویندوز، پروفایل های اینترنتی، نام کاربری و رمز عبور ایمیل ها، نام کاربری و رمز عبور FTP و نام کاربری و رمز عبور برنامه IM را به سرقت می برد.
اطلاعات به سرقت رفته جمع شده آنگاه به سرور C&C فرستاده می شود.
تعداد ماژول های پیاده سازی شده در کوب فیس هر روز در حال افزایش است که این به شبکه رباتی اجازه ایجاد حملات جدید را می دهد.
کوب فیس نحوه کار سایت های شبکه های اجتماعی و نحوه استفاده کاربران از آن ها را درک کرده است.
این ربات در سال ۲۰۰۸ در اینترنت منتشر شد و به طور مداوم بخاطر تورم سایت های شبکه بصری در حال رشد است. (۱۴)
تورپیگ^[۱۸]
در چهارم می ۲۰۰۹، یک شبکه رباتی که “تورپیگ” نامیده می شد عمومیت زیادی یافت و سرتیتر اخبار با کشف یک خونخوار بزرگ شبکه شامل ۷۰ گیگابایت رمز عبور و کارت اعتباری به سرقت رفته منتشر شد که بر اساس تحقیق تیمی از دانشگاه کالیفرنیا در سانتا باربارا کشف گردید. در طی ۱۰ روز، ربات در حال اجرا روی ۱۸۰ هزار میزبان آلوده شده بود و توانایی استفاده از ۲/۱ میلیون آدرس IP را داشت. این شبکه خونخوار با تقریباً ۳۰۰ هزار رمز عبور به سرقت رفته از ۴۱۰ موسسه مالی مختلف و سرویس های پولی نظیر PayPal، یکی از مشهورترین شبکه های دنیاست. تورپیگ از طریق مب روت (Mebroot)، یک کیت ریشه ای (rootkit) که در حین استارتاپ، رکوردهای بوت هارد درایو را بازنویسی می کند. استفاده از این تکنیک، نرم افزار مخرب را غیرقابل شناسایی توسط AV می کند زیرا پیش از بارگذاری نرم افزارهای امنیتی اجرا می شود. شکل ۴ گام های مختلف نصب و راه اندازی تورپیگ را نشان می دهد. وقتی مب روت نصب شد (۴)، میزبان آلوده با سرور C&C مب روت به منظور بدست آوردن کدک های مخرب ارتباط برقرار می کند (۵). این کدک ها رمزگذاری شده و در درون دایرکتوری system32 تحت نام های فایل های موجود در این دایرکتوری اما با فرمت یا اکستنشن (extension) مختلف برای جلوگیری از سوء ظن ذخیره می شوند. هر ۲۰ دقیقه، تورپیگ داده های keylogger را در سرور C&C تورپیگ به روز رسانی می کند. (۶) برخی از حملات فیشینگ (Phishing Attacks) نیز به اطلاعات شخصی جمع آوری شده صورت می گیرد. (۷) وقتی نرم افزار مخرب نصب شد، با بهره گرفتن از keylogger شروع به جمع آوری اطلاعاتی چند از نام کاربری ها و رمز عبور ها از ۳۰ نرم افزار عمده و برنامه های کاربردی مبتنی بر وب می کند. یک مشخصه جالب این نرم افزار مخرب این است که در پایین ترین سطح اجرا می شود. این بدین معنی است که می تواند هر رمز عبوری را پیش از رمزگذاری توسط سوکت های امن، رمز گذاری نماید.
شکل ۶ – زیرساخت شبکه تورپیگ (۱۴)
نتیجه گیری
پدیده شبکه رباتی چندین چالش جدید در جامعه اینترنت ارائه می کند. این بخش طبقه بندی شبکه های رباتی را برای درک بهتر رفتارهایشان تعریف می کند که برای تعیین و شناسایی ظهور فعالیت های شبکه رباتی ضروری است. با در نظر داشتن اینکه شبکه های رباتی اهداف را جابجا می کنند، تمام جنبه های پروتکل ارتباطی، مکانیزم های رهاسازی، حملات به مکانیزم صف آرایی به طور ثابت در حال تحول بوده و وظیفه سختی برای مدافعان شبکه ایجاد می کند. بخش های مختلف مرور سوابق در حال استفاده برای ایجاد یک شبکه رباتی تجربی هستند.
فصل ۳ روش پیشنهادی
روش پیشنهادی
هر جا که با مجموعه ای از داده ها روبه رو هستیم، رده بندی آنها به گروه های یکسان مورد توجه قرار می گیرد. در سال های اخیر روش های متعدد نوینی برای رده بندی )یادگیری با نظارت( و خوشه بندی )یادگیری بدون نظارت( داده ها ارائه شده است.
روش پیشنهادی بر خلاف روش های دسته بندی دیگر مانند درخت تصمیم و نزدیکترین همسایه و… دارای پیچیدگی کمتر، اثبات بهینگی، حساسیت نداشتن به داده های نا متقارن، پیچیدگی محساباتی کمتر، تفسیر ساده نتایج و نیاز به تخمین پارامتر پیچیده ای ندارد و براحتی برای داده های بزرگ قابل استفاده است دارا است و با یک سری پیش پردازش های دستی و انتخاب ویژگی به صورت هوشمند به بهینه شدن روش کمک کردیم در روش هوشمند از الگوریتم انتخاب ویژگی information Gain و نرم افزار Weka جهت انتخاب ویژگی موثر استفاده شده است که در ارزیابی ها نشان داده شده که فاز انتخاب ویژگی بر کارایی ساده بیز تاثیر دارد و باعث بهبود عملکرد ساده بیز می شود. همان‌طور که در فصل‌های قبل بیان شد، بات نت^[۱۹](Botnet) کلمه‌ای است که معرف شبکه‌ای از کامپیوتر‌های آلوده است که به اینترنت متصل می‌باشند و برای حمله‌های توزیع شده‌ی اینترنتی مانند هرزنامه^[۲۰]، ابزار جاسوسی وغیره مورد استفاده قرار می‌گیرند. این کامپیوترها تحت کنترل یک مجموعه دستورات هستند که از طریق نرم افزاری که آگاهانه یا ناآگاهانه بر روی آنها نصب شده است، مدیریت شده و تغییر می­ کنند. این نرم افزار توسط یک کامپیوتر خرابکار کنترل می­گردد. بات‌نت‌ها چرخه حیات شفافی داشته و به سه مرحله اصلی شکل‌گیری، فرمان و کنترل و حمله تقسیم می‌شوند. مشکل اصلی در مورد بات نت ها این است که پنهان بوده و دارای قابلیت پاسخگویی سریع و موثر به نفوذ نمی‌باشند. بسیاری از بات­نت­ها مبتنی بر IRC هستند که معماری متمرکزی دارند و بسیار بزرگ هستند که این دو ویژگی کشف این نوع بات­نت را تسهیل می‌کنند. در سال­های اخیر روش‌های زیادی برای تشخیص بات­نت­های مبتنی بر IRC پیشنهاد شده ­اند، به همین خاطر طراحان بات­نت سعی کرده ­اند امکانات جدیدی به این نوع حملات اضافه کنند که مهمترین آنها، معماری غیر متمرکز آن می‌باشد. همچنین آنها توانستند با بهره گرفتن از پروتکل­های شبکه­ نظیر به نظیر یک شبکه از بات­ها معرفی کنند که نه تنها برای افزایش سرعت انتشار بات­ها استفاده می‌شود، بلکه برای ساخت بات­نت­ها با توان بیشتر هم مورد استفاده قرار می­گیرد.
مبنای رده‌بندی در الگوریتم بیزین، احتمالات است. در واقع رده‌بندی بیزین چیزی جز احتمالات شرطی نیست؛ اما ویژگی بسیار مثبت الگوریتم بیز، این است که امکان اثبات بهینگی دارد. به عبارت دقیق‌تر اگر اعتبار اطلاعات ورودی به این الگوریتم که برای رده‌بندی مورد استفاده قرار می‌گیرند، ۱۰۰% باشد، می توان اثبات کرد که بیز، در مقایسه با روش‌های دیگر، بهترین رده بندی را ارائه می‌کند.
در نظریه بیز، دو عامل دانش اولیه و احتمال قرارگیری یک نمونه در یک رده مشخص، نقش تعیین کننده‌ای در رده بندی دارند(احتمال شرطی). فرض کنید از ما سؤال شود ماشینی که در خیابان پارک شده، سواری است یا باری؟ اگر خودرو مذکور را دیده باشیم که طبیعتاً یک پاسخ قطعی به سؤال مذکور خواهیم داد؛ اما اگر آن خودرو را ندیده باشیم، یک پاسخ احتمال پذیر به سؤال خواهیم داد. ولی در ارائه پاسخ احتمال پذیرمان، به این نکته توجه خواهیم داشت که در منطقه ای که قرار داریم، آیا سواری ها بیشترند و یا باری ها؟ به عنوان مثال اگر محل استقرار، در دانشگاه باشد، طبیعتاً انتظار داریم که در محوطه دانشگاه خودرو سواری پارک شده باشد و نه خودرو باری. به عبارتی، در صورتی که پاسخ به سؤال اولیه، خودرو سواری باشد، احتمال صحت پاسخ بیشتر است تا این که پاسخ، خودرو باری باشد. این احتمال پیشین نامیم. بدیهی است که دامنه رخداد،(A priori knowledge :APK) را دانش اولیه دانش اولیه، ۰ و ۱ است. در روش بیزین، دانش اولیه نقش مهمی در رده بندی دارد. (۲۰)
یکی از مهم‌ترین مفاهیم به کار رفته در الگوریتم بیز، مفهوم احتمال شرطی است. در این راستا هدف اصلی از انجام این پایان‌نامه، شناسایی بات نت ها با بهره گرفتن از جریان های شبکه و یادگیری ماشین مبتنی بر الگوریتم بیزین می‌باشد. در این فصل ابتدا به بیان معماری روش پیشنهادی پرداخته شده و سپس جزئیات شبه‌کد و پارامترهای روش پیشنهادی به طور کامل بیان می‌شود. یادگیری ماشین برنامه نویسی کامپیوتر برای بهینه سازی یک معیار کارایی با بهره گرفتن از داده های نمونه و یا تجربه گذشته است. برخی از کاربردهای یادگیری ماشین عبارتند است از:کنترل روباتها، داده کاوی، تشخیص گفتار، دسته بندی داده و… است. در فصل های قبل به چند روش یادگیری ماشین اشاره کردیم .
معماری روش پیشنهادی
همان‌طور که گفته‌شد، ویژگی اصلی بات‌نت ها وجود زیر ساخت فرمان وکنترل برای آنها است. هر بات‌نت یک گروه هماهنگ از بات‌هایی است که از طریق کانال‌های فرمان و کنترل هدایت شده و فعالیت‌های بدخواهانه انجام می‌دهند؛ بنابراین هدف اصلی روش پیشنهادی، کشف بات‌نت با هدف جلوگیری از انتشار اسپم ها و ترافیک شبکه می‌باشد. در صورت کشف بات‌نت ها می‌توان از انتشار میلیون‌ها اسپم جلوگیری کرد.
در روش پیشنهادی، رفتار کاربران مورد تجزیه و تحلیل قرار می گیرد و میزان ترافیک شبکه بررسی می‌شود. بر این اساس الگو های رفتاری عمده در شبکه مشخص می‌شود و سیستم مورد یادگیری قرار می گیرد. در ابتدا ترافیک شبکه بررسی می‌شود. میزان ترافیک انتقالی بین میزبان‌ها و یا هاست‌ها ثبت می‌شود و در ادامه الگوهای رفتاری شبکه استخراج می‌شود. جهت مدل‌سازی یک ماژول کشف الگوی های رفتاری از الگوریتم بیزین استفاده می‌شود. الگوهای رفتاری را از مجموعه‌ای از بسته‌های مربوط به حملات استخراج نموده و آنها را در قالب قوانین تشخیص قابل فهم برای تشخیص نفوذ بر خط به کار گرفت. طبیعتا هرچه داده‌های مورد استفاده، دارای تنوع و کیفیت بیشتری باشند، قدرت روش پیشنهادی بیشتر مورد ارزیابی قرار می‌گیرد. در شکل ۷، چارچوب کلی روش پیشنهادی مشاهده می‌شود. در طراحی روش پیشنهادی تلاش بر آن بوده‌است تا ضمن حفظ سادگی و استفاده از الگوریتم‌های قدرتمند تا حد امکان، هزینه زمانی اجرایی الگوریتم پایین باشد. در صورت بالا بودن هزینه زمانی، ماژول تشخیص بات‌نت تبدیل به گلوگاه شده و استفاده از آن به عنوان بخشی از نرم‌افزارهای شبکه، غیرممکن می‌شود.
شکل ۷ – چارچوب روش پیشنهادی
مهم‌ترین مزایای روش پیشنهادی عبارتند از:
بهبود سرعت و دقت در کشف و شناسایی بات‌نت‌ها در شبکه‌های کامپیوتری.
بهبود امنیت در شبکه‌های کامپیوتری و حفظ حریم شخصی کاربران شبکه های مختلف.
فراهم کردن دسترس‌پذیری در شبکه‌های کامپیوتری.
استفاده از مجموعه‌داده وسیع و متنوع در راستای افزایش دقت مدل.
سادگی.
توانایی تشخیص بات‌ها مستقل از آدرس.
شاید بتوان مهم‌ترین عیب این روش را عدم توازن تعداد هاست‌های سالم و هاست‌های آلوده دانست. این فرایند سبب کاهش کیفیت مرحله یادگیری می‌شود. همچنین امکان تشخیص بلادرنگ و درجای بات‌نت‌ها وجود ندارد.
شبیه‌سازی داده‌ها
در این پایان‌نامه ابتدا جهت شبیه‌سازی داده‌ها از مجموعه‌داده‌ آماده و دردسترس ISOT که جریان واقعی شبکه را ذخیره نموده استفاده شده‌است. مهم‌ترین ویژگی های این مجموعه‌داده عبارتند از:
۱) یک پایگاه‌داده واقعی P2P BotNet بوده که حاصل مانیتورینگ بسته‌های شبکه چندین زیرشبکه می‌باشد.
۲) شامل هاست‌های مخرب^[۲۱] و غیرمخرب^[۲۲] .
۳) عدم توزان هاست‌های سالم و بات.
۴) تنوع کاربردی از ایمیل و وب تا بسته‌های کنترلی و جریان‌های مدیا