الف – پرداخت وجه بحساب وب سایت ایران ترجمه(شماره حساب)ب- اطلاع جزئیات به ایمیل irantarjomeh@gmail.comشامل: مبلغ پرداختی – شماره فیش / ارجاع و تاریخ پرداخت – مقاله مورد نظر --مقالات آماده سفارش داده شده پس از تایید به ایمیل شما ارسال خواهند شد.
بخش زیادی از این مقاله بصورت رایگان ذیلا قابل مطالعه می باشد.
شماره
۲۳۵
کد مقاله
COM235
مترجم
گروه مترجمین ایران ترجمه – www.irantarjomeh.ir
نام فارسی
بررسی معماری های، تشخیص و دفاع بات نت
نام انگلیسی
Survey on Botnet Architectures, Detection and Defences
تعداد صفحه به فارسی
۱۰۰
تعداد صفحه به انگلیسی
۱۸
کلمات کلیدی به فارسی
بات نت، فرمان و کنترل، حمله عدم سرویس دهی توزیعی DDoS، شبکه های خدماتی با تغییر پی در پی سریع
کلمات کلیدی به انگلیسی
Botnet, command and control, distributed denial of service attack (DDoS), fast-flux service networks
مرجع به فارسی
ژورنال بین المللی امنیت شبکه
دپارتمان مهندسی کامپیوتر و سیستم ها، دانشگاه کارلتون، اوتاوا، کانادا
مرجع به انگلیسی
International Journal of Network Security
کشور
کانادا
بررسی معماریهای تشخیص و دفاع بات نت
چکیده
بات نت ها (Botnet) یکی از جدید ترین تهدیدات امنیتی اینترنت هستند. در این بررسی ما معماری های بات نت و مکانیزم کنترل آن را مرور می نماییم. بعلاوه، رفتار آلوده سازی بات نت توضیح داده می شود و شبکه های خدماتی با تغییر پی در پی سریع (FFSN) که نقش مهمی در تسهیل ترافیک بات نت دارند مورد بررسی قرار می گیرند. در این مقاله ما بات نت ها را بر اساس معماری / ساختار آنها طبقه بندی می کنیم. معیار طبقه بندی ما متکی به زمینه پروتکل دهی و کنترل (C & C ) می باشد. بات نت ها به انواع IRC، HTTP، P2P و POP3 تقسیم بندی می شوند. علاوه بر این، انواع بات نت های در حال ظهور که شامل SMS & MMS botnet و بات نت هایی که از شبکه های اجتماعی آنلاین سو استفاده می نمایند نیز بررسی می شوند. در مبحث روش های شناخت بات نت ها می توان آنها را به سه گروه اصلی زیر تقسیم بندی کرد: ۱- تشخیص رفتار ترافیک: در این مورد ما ترافیک بات نت را به قسمت ترافیک C&C، ترافیک تولید شده بات و ترافیک DNS تقسیم می کنیم. ۲- تشخیص ردیابی botmaster و ۳- تشخیص بات نت با استفاده از ماشین های مجازی. در نهایت ما اقدامات دفاعی در مقابل بات نت ها را که باید بعد از تشخیص آنها در نظر گرفته شوند را به طور خلاصه بیان می نماییم.
کلمات کلیدی: بات نت، فرمان و کنترل، حمله عدم سرویس دهی توزیعی (DDoS)، شبکه های خدماتی با تغییر پی در پی سریع
۱- مقدمه
بات نت واژه ای است که برای توصیف یک شبکه از میزبان های آلوده (Bots) که در حال اجرای برنامه مخرب یا روبوتهای نرم افزاری هستند بکار گرفته شده است و این فرآیند توسط فردی بنام (botherder) از طریق یک یا چند کنترلر (botmasters) کنترل می شود. ارتباط بوت مستر /botmaster با بات های خودش تحت عنوان «ترافیک فرمان و کنترل» یا همان C & C خوانده می شود. بات نت ها یک تهدید امنیتی جدی محسوب می شوند. C & C ها مسئول اغلب اسپم های ایمیلی، سرقت هویت، حملات آنلاین فیشینگ (صفحات جعلی)، جاسوس افزارها، آگهی افزارها و حملات DDOS هستند. برآورد شده است که ۱۵ درصد سیستم های متصل به اینترنت آلوده هستند و توسط بات نت ها استفاده می شوند. بر حسب مستندات یک بات نت آلوده در حدود ۴۰۰۰۰۰ کامپیوتر را تحت کنترل خود در آورده است. بات نت ها رفتار بسیار فریبکارانه ای دارند،که باعث می شوند که تشخیص آنها چالش برانگیز گردد. آنها می توانند برای مدت طولانی غیر فعال مانده و احتمالا حجم ترافیک کمی ایجاد می نمایند.
اهداف اصلی بات نت ها به شرح زیر است: ۱-پراکندگی اطلاعات، ارسال هرزنامه، حمله انکار سرویس (DDOS) و فراهم نمودن اطلاعات نادرست از منابع کنترل شده به صورت غیر قانونی. ۲-برداشت اطلاعات،بدست آوردن هویت، اطلاعات مالی، کلمه های عبور و داده های مرتبط. ۳-پردازش اطلاعات، پردازش داده برای شکستن و بدست آوردن رمز عبور برای دسترسی به میزبان های اضافی
تشخیص بات نت ها به دلایل زیادی مشکل است، حجم ترافیک بات نت های C&C معمولا کم می باشد. در ترافیک برنامه ها پنهان شده اند و این باعث می شود که آنها شبیه به ترافیک معمولی به نظر بیایند. تعداد بات ها در یک شبکه ممکن است که کم باشد یا بات نت ممکن است که از پورت های مقصد غیر معمول استفاده نماید یا ترافیک C&C برای جلوگیری از تشخیص آن رمز نگاری شود.
در این مقاله، مرور کوتاهی به بررسی های انجام شده در مقالات مختلف، کارگاه ها و کنفرانس ها و نظر سنجی های که توسط محققین سراسر دنیا ارائه شده می پردازیم تا بینش کاملی از بات بدست آوریم. در این مقاله محققینی بنام بیلی و همکارانش بر روی تشخیص بات نت و منابع آنها متمرکز شده و به تشخیص رفتار تعاملی، رفتار حمله و تشخیص مبتنی بر امضا پرداخته اند. آنها بر روی معماری بانت نت ها و طبقه بندی آنها و روش دفاع آنها تمرکز نکردند. آنها چهار روش برای تشخیص بات نت را توضیح دادند، تشخیص مبتنی بر ناهنجاری، مبتنی بر امضا، مبتنی بر dns و مبتنی بر miningbased. .
اهداف. هدف ما بطور خلاصه، به بررسی و شفاف سازی عقبه یک بات نت و هم چنین طبقه بندی بات نت ها بر اساس معماری و همچنین رفتارشان می باشد و به شرح برخی اقدامات امنیتی که برای شناسایی و کاهش بات نت ها استفاده می شود، می پردازیم.
رئوس مطالب: بخش ۲ به بررسی برخی معماری بات نت ها و مکانیسم استفاده شده توسط آنها جهت کنترل میزبان ها می پردازد. این بخش اقدام به آنالیز و تحلیل رفتار بات نت ها و خلاصه سازی مدل های بات نت ها می نماید و متعاقبا برخی از ویژگی های بانت نت ارائه می شود. بخش ۳ به دسته بندی بات نت ها براساس زیرساخت های ارتباطی آنها پرداخته و اقدام به بررسی بات نت های موبایلی جدید و بات نت های آنلاین شبکه های اجتماعی می نماید. بخش ۴ جزئیات الگوریتم های شناسایی بات نت را مورد بحث قرار داده و آنها را به الگوریتم های شناسایی رفتار- مبنا، بوت مستر ردیابی- مبنا (botmaster traceback-based) و الگوریتم ماشین- مبنای مجازی رده بندی می کند. در نهایت بخش پنجم به نتیجه گیری می پردازد.
۲- عناصر معماری بات نت ها
ما در این بخش به شرح آنچه که در C&C شروع و اتفاق می افتد و بررسی رفتار آلوده کننده بات نت ها و شرح مدل های شناخته شده بات نت ها می پردازیم. پس از آن به توضیح چگونگی ساختار شبکه زیرساخت با ت نت ها و مکانیزم ارتباطی با C&C می پردازیم.
…
، بات می تواند از طریق مکانیزم های زیر میزبان را کنترل نماید:
۱-ایمن سازی سیستم مثل بستن NETBOIS Share و RPCDCOM
۲-جاسوس یا سرقت هویت
۳-ارسال ایمیل های spam
۴-میزبانی سایت های غیر قانونی
۵-جهت دهی ترافیک برای بات نت
۶-از بین بردن نرم افزارهایی مثل آنتی ویروس
۷-انجام تست برای ماشین های مجازی یا دیباگ نمودن نرم افزار
۸-اضافه نمودن و یا حذف نمودن برنامه هایی که به صورت خودکار شروع می شوند.
۹-اجرای یا خاتمه دادن به برنامه ها
۱۰-دانلود و اجرای فایل ها
۱۱- اسکن ip و پورت
۱۲-تغییر نام دادن فایل ها
۱۳-شبیه سازی process ها
۱۴-اجرای حملات DDos
…
۳- طبقه بندی معماری بات نت ها بر مبنای C&C
در این بخش ما طبقه بندی بات نت ها را ارائه می دهیم. بات نت ها را می توان از طریق پروتکل ترافیکی یا همان پروتکل ارتباطی آنها با c&c طبقه بندی کرد.
۳-۱- بات نت های IRC
پروتکل IRC50 به منظور تسهیل برای محیط چت طراحی شده است. سادگی و ساختار توزیع شده آن اولین و رایج ترین بات نت ها را قادر به استفاده و ارتباط با C&C ها کرد.
…
تشخیص
با توجه به اینکه بات نت های OSN بات نت های جدیدی هستند روش های مکانیزم های تشخیص آنها به اندازه کامل، کافی نیست. فردی به نام کارتالتپه و همکارانش یک مکانیزم تشخیص برای تشخیص بات نت هایی که از OSN ها برای C&C استفاده می کنند مطرح کرد. طرح آنها دارای راه های مقابله server-side و client-side بود. server-side بر این حقیقت استوار است که پست ها انتظار دارند که در plain test باشند. آنها به دنبال ویژگی های متن می گردنند و از یک ماشین سبک وزن light-weight که در حال یادگیری الگوریتم می باشد، برای تشخیص بلادرنگ استفاده می نماید.
…
۴ – تشخیص بات نت و دفاع در مقابل آن
روش های تشخیص سریع بات ها از طریق امضای آنها طراحی شده است و وجود دارد. اما سیستم نمی تواند بات های ناشناخته را تشخیص دهد. بنا براین تشخیص مبتنی بر امضا برای با ت های قدیمی خوب عمل می کند اما برای بات های جدید کارایی ندارد و بات، تخریب خودش را انجام می دهد. دانیل و همکارانش روش های تشخیص بات نت ها را به دو دسته حالت فعال active و حال غیر فعال passive تقسیم بندی کردند تا زمانی که trends micro گزارشی مبنی بر اینکه رفتار بات نت یک مرحله مهم در تشخیص آن می باشد را منتشر نمود. و رفتار قابل مشاهده برای تشخیص بات نت را به سه نوع تقسیم شده است:
…
۴-۴٫ نمونه و مثال هایی از سیستم های تشخیص بات نت
سیستم تشخیص بات نت معمولا بیش از یک روش و رویکرد تشخیص بات نت استفاده می کند. برای مثال یک سیستم تشخیص می تواند از امضاها و ترافیک های تولید شده توسط بات نت و C&C برای تشخیص بات نت ها استفاده نماید. بنابراین امکان پذیر نیست که این سیستم های تشخیص را در یک طبقه بندی قرار دهیم.
…
۴-۵- خلاصه روش های تشخیص
در این بخش ما به بررسی روش های تشخیص بات نت پرداخته ایم، این روش ها شامل روش تشخیص بر اساس رفتار، بر اسا س BTMASTER و روش تشخیص از طریق ماشین های مجازی می باشد. همانظور که در جدول ۱ می بینید بسیاری از روش های تشخیص بات بر اساس رفتار (بجز تجزیه و تحلیل ترافیک DNS ) وابسته به پروتکل می باشند و بات هایی که از رمز نگاری استفاده می کنند و در زمان واقعی فعالیت می کنند را نمی توانند تشخیص دهند. با این حال بسیاری از آن نرخ ها قابل قبول و هزینه قابل قبول دارند، تنها تجزیه و تحلیل ترافیک DNS ها می تواند بات های رمز شده را بدون در نظر گرفتن پروتکل آنها تشخیص دهد.
…
۵- نتیجه گیری
این یک وافعیت است که دانش ما در خصوص بات نت ها کامل نیست، بات ها یکی از خطرناک ترین تهدیدات در امینت شبکه می باشند. این مقاله برای درک بهتر بات نت ها تهیه شده و تلاشی صورت گرفته تا به بررسی تقریبا همه تحقیقات انجام شده در این مقاله داشته باشیم.
در این مطالعه ما نسبت به بررسی ارتباطات، آلودگی و مدل های C&C اقدام نمودیم. در این مبحث برخی از ویژگیهای مرتبط ارائه شده و شبکه های خدمات Fast-Flux با جزئیات همراه با مکانیسم های C&C بوت نت ها بررسی شد.
ما بات نت ها را طبقه بندی کردیم، بات نت های که در بر پایه پروتکل IRC هستند، http، pop3 و بات نت های P2p همچنین بد افزارهای جدید در حال ظهور مانند بات نت های شبکه های اجتماعی و موبایلی مورد بررسی قرار گرفت، تهدیدات بات نت ها همواره در حال افزایش می باشد همچنین بات نت های تلفن همراه می توانند از طریق ارسال پیام که sms و mms می باشد، از یک دیگر تمایز پیدا کنند.
علاوه بر این روش های تشخیص بات نت و طبقه بندی آنها بررسی شد که روش های تشخیص بات نت مبتنی بر رفتار که به سه دسته :رفتار ترافیک C&C، رفتار ترافیک تولید شده بات و رفتار ترافیک DNS تقسیم می شد. سپس در پایان روش تشخیص ماشین مجازی توضیح داده شده و در نهایت در پایان نمونه هایی از ابزارهای تشخیص بات را نام بردیم. (,rishibothnnter,botsnifer,botminer) . . .
لطفا به جای کپی مقالات با خرید آنها به قیمتی بسیار متناسب مشخص شده ما را در ارانه هر چه بیشتر مقالات و مضامین ترجمه شده علمی و بهبود محتویات سایت ایران ترجمه یاری دهید.
