تشخیص هوشمندکرم‌های نهان در شبکه‌های رایانه‌ای

نوع مقاله : مقاله پژوهشی

نویسندگان

1 دانشگاه امام حسین (ع)

2 علم و صنعت

3 دانشگاه علم و صنعت

چکیده

یکی از تهدیدات اساسی درفضای سایبر، بدافزارهای پیچیده‌ای می‌باشد که به قصد جاسوسی و تخریب سامانه‌ها در زیرساخت‌های حیاتی کشور گسترش یافته ‌است. آنچه در این مقاله ارائه‌شده روشی هوشمند در کشف کرم‌های نهانی می‌باشد که می­تواند چندریختی و رمزشده بوده و ماهیت آنها هنوز برای ابزارهای دفاعی ناشناخته باقی مانده ‌است. برای این منظور با تأکید بر ویژگی­های پویش کرم، مدل ارتباطات میزبان­های آلوده و سرآیند بسته­های ارسالی روی بستر شبکه، راه­کاری مبتنی بر روش‌های داده‌کاوی در کشف گسترش­های مخرب ارائه نمودیم. با خوشه­بندی داده­های پاک و استفاده از رده­بندی داده­های پاک و آلوده و به‌کارگیری نمونه­های آزمایشگاهی توانستیم بهترین مدل را به کمک روش درخت تصمیم C5 با صحت % 49/94، دقت %92/92 و با بازخوانی %70/94 در کشف بسته­های آلوده از پاک ارائه نماییم. در نهایت نیز نشان دادیم که استفاده از خوشه­بندی در الگوهای ترافیک میزبان­های پاک نتایج بهتری را در شناخت ترافیک­های آلوده به‌دست می­آورد.

کلیدواژه‌ها


عنوان مقاله [English]

Smart Detection of Covert Worms in Computer Networks

نویسندگان [English]

  • M. Zabihi 1
  • B. Minaei 2
  • M. Nasiri 3
1 imam hossein university
2 iran university of science and technology
3 iran university of science and technology
چکیده [English]

Complex malwares which infiltrate systems in a country’s critical infrastructure with the purpose of destruction or espionage are major threats in cyber space. What is presented in this article is a smart solution to discover zero day worms which can be polymorphic and encrypted and their nature is still unknown to defense tools.To do this, we first outlined our desirable detector and then presented a solution based on data mining methods for detecting malicious extensions with the emphasis on worm’s scanning feature, communication model of the infected hosts and the packets’ headers transmitted across the network.By clustering clean data, and using clean and contaminated data classifications, experimental samples and the C5 decision tree, we managed to present the best model with an accuracy of 94.49%, precision of 92.92%, and a recall of 94.70% in identifying infected packages from the clean ones. Finally, we also showed that the use of clustering in the patterns of clean hosts’ traffic could reach better results in identifying infected traffic.

کلیدواژه‌ها [English]

  • Worm
  • Detector
  • Zero day
  • Scan
  • Data mining
 [1] K. Bartos and M. Sofka, “Robust representation for domain adaptation,” In European Conference on Machine Learning and Knowledge Discovery in Databases, 2015.##
 
[2] P. Prasse, G. Gruben, L. Machlika, T. Pevny, M. Sofka, and T. Scheffer, “Malware Detection by HTTPS Traffic Analysis,” Universität Potsdam, no. computer security, machine learning, p. 10, 2017.##
­
[3] ICSI, “International Computer Science Institute,” Berkeley University of California, [Online]. Available:
 http://www.icir.org/enterprise-tracing/download.html.##