Generating content-based signatures for detecting bot-infected machines
- Global styles
- Apa
- Bibtex
- Chicago Fullnote
- Help
Abstract
Botnet'ler botmaster adı verilen saldırganlar tarafından uzaktan kontrol edilip yönetilebilen, ele geçirilmiş makinalardan oluşan ağlardır. Botnetler genelde dağıtık hizmet engelleme saldırıları uygulamakö reklam içerikli e-posta göndermek ya da kimlik hırsızlığı yapmak için kullanılırlar. Son yıllarda, kötü niyetli faliyetlerdeki temel amaç, haker topluluğundaki özenti çocukların saygınlık kazanma isteklerinden daha çok organize saldırılarla finansal kazanç sağlamaktır. Bu değişim, daha sofistike kötü niyetli faliyetler yapabilme özelliği olan botnetlerin sayısındaki artışın nedenini de açıklar. Son zamanlarda, araştırmacılar botnetleri yakalamak için yoğun çalışmalar yapmaktalar. Şimdiye kadar geliştirilen sistemler, bazı bot özelliklerine, çoğalma yöntemlerine ya da saldırı şekillerine odaklandıkları için ne yazık ki çok sınırlıdırlar. Biz, ağ trafiğini izleyerek, yerel ağdaki bot tarafından ele geçirilmiş makinaları tespit eden bir sistem sunuyoruz. Bizim amacımız, bot yayılma vektöründen bağımsız bir şekilde ele geçirilmis makinaları tespit eden daha genel bir yakalama yönetmi geliştirmektir. Bunun için, botların en belirgin karakteristiği olan komut alma ve komuta itaat etmek özelliğinden yararlanıyoruz. Bot tarafından üretilmiş ağ trafiğini inceleyip, komutları ve cevaplarını tespit ediyoruz. Ardından, belirli bot davranışlarını tetikleyen benzer komutlardan, komut ve kontrol protokolü hakkında bir ön bilgiye sahip olmadan bot yakalama imzaları üretiyoruz. Ürettiğimiz imzalar, bir üniversitenin trafiğini izleyen ve denetleyen bir IDS'e uygulanmıştır. Yaptığımız deneylerin sonunda, bizim sistemimizin bot tarafından ele geçirilmiş makinaları çok düşük orandaki yanlış alarmlar ile yakaladığı ortaya çıkmıştır. A botnet is a network of compromised machines that are remotely controlled andcommanded by an attacker, who is often called the botmaster. Such botnets areoften abused as platforms to launch distributed denial of service attacks, sendspam mails or perform identity theft. In recent years, the basic motivationsfor malicious activity have shifted from script kiddie vandalism in the hackercommunity, to more organized attacks and intrusions for ¯nancial gain. This shiftexplains the reason for the rise of botnets that have capabilities to perform moresophisticated malicious activities. Recently, researchers have tried to developbotnet detection mechanisms. The botnet detection mechanisms proposed to datehave serious limitations, since they either can handle only certain types of botnetsor focus on only speci¯c botnet attributes, such as the spreading mechanism, theattack mechanism, etc., in order to constitute their detection models.We present a system that monitors network tra±c to identify bot-infectedhosts. Our goal is to develop a more general detection model that identi¯essingle infected machines without relying on the bot propagation vector. To thisend, we leverage the insight that all of the bots get a command and perform anaction as a response, since the command and response behavior is the uniquecharacteristic that distinguishes the bots from other malware. Thus, we examinethe network tra±c generated by bots to locate command and response behaviors.Afterwards, we generate signatures from the similar commands that are followedby similar bot responses without any explicit knowledge about the commandand control protocol. The signatures are deployed to an IDS that monitors thenetwork tra±c of a university. Finally, the experiments showed that our systemis capable of detecting bot-infected machines with a low false positive rate.
Collections