@article { author = {Zabihi, M. and Minaei, B. and Nasiri, M.}, title = {Smart Detection of Covert Worms in Computer Networks}, journal = {Electronic and Cyber Defense}, volume = {7}, number = {4}, pages = {67-77}, year = {2020}, publisher = {Imam Hussein University}, issn = {2322-4347}, eissn = {2980-8979}, doi = {}, abstract = {Complex malwares which infiltrate systems in a country’s critical infrastructure with the purpose of destruction or espionage are major threats in cyber space. What is presented in this article is a smart solution to discover zero day worms which can be polymorphic and encrypted and their nature is still unknown to defense tools.To do this, we first outlined our desirable detector and then presented a solution based on data mining methods for detecting malicious extensions with the emphasis on worm’s scanning feature, communication model of the infected hosts and the packets’ headers transmitted across the network.By clustering clean data, and using clean and contaminated data classifications, experimental samples and the C5 decision tree, we managed to present the best model with an accuracy of 94.49%, precision of 92.92%, and a recall of 94.70% in identifying infected packages from the clean ones. Finally, we also showed that the use of clustering in the patterns of clean hosts’ traffic could reach better results in identifying infected traffic.}, keywords = {Worm,Detector,Zero day,Scan,Data Mining}, title_fa = {تشخیص هوشمندکرم‌های نهان در شبکه‌های رایانه‌ای}, abstract_fa = {یکی از تهدیدات اساسی درفضای سایبر، بدافزارهای پیچیده‌ای می‌باشد که به قصد جاسوسی و تخریب سامانه‌ها در زیرساخت‌های حیاتی کشور گسترش یافته ‌است. آنچه در این مقاله ارائه‌شده روشی هوشمند در کشف کرم‌های نهانی می‌باشد که می­تواند چندریختی و رمزشده بوده و ماهیت آنها هنوز برای ابزارهای دفاعی ناشناخته باقی مانده ‌است. برای این منظور با تأکید بر ویژگی­های پویش کرم، مدل ارتباطات میزبان­های آلوده و سرآیند بسته­های ارسالی روی بستر شبکه، راه­کاری مبتنی بر روش‌های داده‌کاوی در کشف گسترش­های مخرب ارائه نمودیم. با خوشه­بندی داده­های پاک و استفاده از رده­بندی داده­های پاک و آلوده و به‌کارگیری نمونه­های آزمایشگاهی توانستیم بهترین مدل را به کمک روش درخت تصمیم C5 با صحت % 49/94، دقت %92/92 و با بازخوانی %70/94 در کشف بسته­های آلوده از پاک ارائه نماییم. در نهایت نیز نشان دادیم که استفاده از خوشه­بندی در الگوهای ترافیک میزبان­های پاک نتایج بهتری را در شناخت ترافیک­های آلوده به‌دست می­آورد.}, keywords_fa = {کرم,تشخیص‌دهنده,پویش,داده‌کاوی}, url = {https://ecdj.ihu.ac.ir/article_204737.html}, eprint = {https://ecdj.ihu.ac.ir/article_204737_b4077cbd5df4592c790949a853b59895.pdf} }