شناسایی دامنه های بدخواه شبکه های بات با استفاده از شبکه عصبی خود رمزگذار عمیق

نوع مقاله : مقاله پژوهشی

نویسندگان

1 مربی، گروه مهندسی کامپیوتر، واحد خامنه، دانشگاه آزاد اسلامی، خامنه، ایران

2 دانشیار، دانشکده مهندسی کامپیوتر، دانشگاه علم و صنعت ایران، تهران، ایران

3 کارشناسی ارشد، گروه مهندسی کامپیوتر، واحد شبستر، دانشگاه آزاد اسلامی، شبستر، ایران

چکیده

هر شبکه ‌بات گروهی از میزبان‌هایی است که با کد بدخواه یکسانی آلوده‌شده و از طریق یک یا چند سرویس‌دهنده فرمان ‌و کنترل توسط مهاجم یا مدیر بات هدایت می‌شوند. در شبکه‌های بات نسل جدید فهرست ‌نام‌های دامنه سرویس‌دهنده­های فرمان ‌و کنترل به‌صورت پویا ایجاد می‌شود. این فهرست پویا که توسط یک الگوریتم تولید دامنه ایجاد می‌شود به مهاجم کمک می‌کند تا مکان سرویس‌دهنده­های فرمان ‌و کنترل خود را به‌صورت دوره‌ای تغییر داده و از قرار گرفتن آدرس‌های آن‌ها در فهرست‌های سیاه جلوگیری کند. هر میزبان آلوده با استفاده از یک الگوریتم از پیش تعریف‌شده، تعداد زیادی نام دامنه تولید کرده و با ارسال پرس‌وجوهای سرویس‌دهنده دامنه تلاش می‌­کند آن‌ها را به آدرس‌های متناظرشان نگاشت کند. در این مقاله، از الگوریتم‌ شبکه عصبی خود رمزگذار عمیق برای شناسایی دامنه­­هایی که هیچ‌گونه آگاهی از الگوریتم تولید آن‌ها وجود نداشته است، استفاده‌شده و عملکرد روش ­پیشنهادی با عملکرد الگوریتم­های یادگیری ماشین مقایسه شده است. ابتدا مجموعه داده جدیدی از ترکیب یک مجموعه داده با دامنه­های سالم و دو مجموعه داده حاوی دامنه­های بدخواه و ناسالم ایجادشده و از دو سناریوی دستی و خودکار برای استخراج ویژگی­های مجموعه داده جدید استفاده‌شده است. شبکه عصبی خود رمزگذار عمیق بر روی مجموعه داده جدید و پیش‌پردازش شده اعمال‌شده و نتایج در مقایسه با الگوریتم­­های یادگیری ماشین بررسی‌شده است. با توجه به نتایج به‌دست‌آمده، می­توان با استفاده از شبکه عصبی خود رمزگذار عمیق، دامنه­های بدخواه تولیدشده توسط الگوریتم­های تولید دامنه را با سرعت بیشتر و نرخ صحت بیشتر از 98.61% شناسایی کرد.

کلیدواژه‌ها

مراجع

[1]     M. Asadi, S. Parsa, M. A. Jabraeil Jamali, and V. Majidnezhad, “P2P Botnet detection Using Deep Learning method,” Journal of Electronical & Cyber Defence, vol. 8, no. 2, 2020. (In Persian)##
[2]     R. Jalaei and M. R. Hasani Ahangar, “An Analytical Survey on Botnet and Detection Methods,” Journal of Electronical & Cyber Defence, vol. 4, no. 4, 2017. (In Persian)##
[3]     V. Mohammadi and A. Rezaee, “Botnets Detection by Analyzing Network Traffic Group Activities and Unsuccessful Responses,” Passive Defense Quarterly, vol. 7, no.3, 2016. (In Persian)##
[4]     D. K. McGrath and M. Gupta, “Behind Phishing: An Examination of Phisher Modi Operandi,” First USENIXWorkshop on Large-Scale Exploits and Emergent Threats, LEET ‘08, San Francisco, CA,USA, 2008.##
[5]     L. Bilge, E. Kirda, C. Kruegel, and M. Balduzzi, “Exposure: Finding Malicious Domains Using Passive DNS Analysis,” Network and Distributed System Security Symposium, NDSS 2011, San Diego, CA, USA, 2011.##
[6]     J. Ma, L. K. Saul, S. Savage, and G.M. Voelker, “Beyond blacklists: Learning to detect malicious web sites from suspicious URLs,” 15th ACM SIGKDD International Conference on Knowledge Discovery and Data Mining, Paris, France, 2009.##
[7]     M. Antonakakis, R. Perdisci, Y. Nadji, N. Vasiloglou, S. Abu-Nimeh, W. Lee, and D. Dagon, “From Throw-Away Traffic to Bots: Detecting the Rise of DGA-Based Malware,” 21st USENIX Security Symposium, Bellevue, WA, USA, 2012.##
[8]     S. Yadav, A. K. K. Reddy, A. L. N. Reddy, and S. Ranjan, “Detecting algorithmically generated malicious domain names,” 10th annual conference on Internet measurement MC ’10, 2010.##
[9]     R. R. Curtin, A. B. Gardner, S. Grzonkowski, A. Kleymenov, and A. Mosquera, “Detecting DGA domains with recurrent neural networks and side information,” 14th International Conference on Availability, Reliability and Security, 2019.##
[10]  N. Davuth and S-R. Kim, “Classification of malicious domain names using support vector machine and bi-gram method,” J. Secur. Appl., vol. 7, pp. 51–58, 2013.##
[11]  J. Woodbridge, H. S. Anderson, A. Ahuja, and D. Grant, “Predicting domain generation algorithms with long      short-term memory networks,” arXiv Prepr, arXiv:1611.00791, 2016.##
[12]  K. Demertzis and L. Iliadis, “Evolving Smart URL Filter in a Zone-Based Policy Firewall for Detecting Algorithmically Generated Malicious Domains,” Lecture Notes in Computer Science, pp. 223–233, 2015.##
[13]  S. Schiavoni, F. Maggi, L. Cavallaro, and S. Zanero, “Phoenix: DGA-Based Botnet Tracking and Intelligence,” Lecture Notes in Computer Science, pp. 192–211, 2014.##
[14]  S. Yadav, A. K. K. Reddy, A. L. N. Reddy, and S. Ranjan, “Detecting Algorithmically Generated Domain-Flux Attacks With DNS Traffic Analysis,” IEEE/ACM Transactions on Networking, vol. 20, no. 5, pp. 1663–1677, 2012.##
F. Ren, Z. Jiang, X. Wang, and J. Liu, “A DGA domain names detection modeling method based on integrating an attention mechanism and deep neural network,” Cyber security, vol. 3, no.1, pp. 1-13, 2020.##
[15]  J. Hagen and S. Luo, “Why domain generating algorithms (dgas),” Trend Micro, Retrieved March, vol. 25, 2017.##
 [16]  C. E. Shannon, “A Mathematical Theory of Communication,” 2009.##
[17]  S. Douzi, M. Amar, and B. El Ouahidi, “Advanced Phishing Filter Using Autoencoder and Denoising Autoencoder,” International Conference on Big Data and Internet of  Thing – BDIOT’17, 2017.##
[18]  D. P. Kingma and J. Ba, “Adam: A method for stochastic optimization,” arXiv Prepr, arXiv:1412.6980, 2014.##
[19]  Y. Bengio, A. Courville, and P. Vincent, “Representation Learning: A Review and New Perspectives,” IEEE Transactions on Pattern Analysis and Machine Intelligence, vol. 35, no. 8, pp. 1798–1828, 2013.##
[20]  J. Wang, H. He, and D. V. Prokhorov, “A Folded Neural Network Autoencoder for Dimensionality Reduction,” Procedia Computer Science, vol. 13, pp. 120–127, 2012.##
[21]  M. Abadi et al., “Tensorflow: a system for large-scale machine learning,” OSDI, vol. 16, pp. 265–283, 2016.##
[22]  Chollet F., Keras, Accessed 2017-05-28. [Online]. Available: https://github.com/fchollet/keras##
[23]  Alexa Top 1 Million Sites: The Alexa Top Sites web service provides access to lists of websites ordered by Alexa Traffic Rank. (https://www.kaggle.com/ cheedcheed/top1m)##
[24]  Bambenek Consulting provided malicious algorithmically generated domains.(http://osint.bambenekconsulting.com /feeds/dga-feed.txt)##
[25]  360 Lab DGA Domains: A collection of domains generated by DGA and it is maintained by 360-a Chinese security vendor. (https://data.netlab.360.com/feeds/dga/ dga.txt)##
پدافند الکترونیکی و سایبری
دوره 9، شماره 1 - شماره پیاپی 33
شماره پیاپی 33، فصلنامه بهار
اردیبهشت 1400
صفحه 61-74

فایل ها

سابقه مقاله

  • تاریخ دریافت: 14 فروردین 1399
  • تاریخ بازنگری: 22 خرداد 1399
  • تاریخ پذیرش: 15 مرداد 1399

هم رسانی

ارجاع به این مقاله

آمار