Поведенческий анализ трафика для детектирования ботнет - активности

Поведенческий анализ трафика для детектирования ботнет - активности
ПОВЕДЕНЧЕСКИЙ АНАЛИЗ ТРАФИКА ДЛЯ
ДЕТЕКТИРОВАНИЯ БОТНЕТ - АКТИВНОСТИ
С.А.БУРНЫШЕВА, В.И.МОИСЕЕВ
Пермский государственный национальный исследовательский
университет, 614990, Пермь, Букирева, 15
Ботнет – это сеть компьютеров, зараженных вредоносной программой.
Она позволяет удаленно управлять зараженными машинами без ведома
пользователя откуда угодно: из другого города, страны или даже с другого континента, а организация Интернета позволяет делать это анонимно.
Хозяин зараженной машины, как правило, даже не подозревает о том, что
его машина используется злоумышленниками. [1]
В настоящее время для обнаружения ботнетов применяются разнообразные свободно распространяемые и коммерческие средства. Многие из
них выполняют анализ данных о трафике. Другие - используют методы
анализа поведения, анализ журнала DNS-серверов и создание системприманок. [2]
В данной работе проведен поведенческий анализ трафика в сети ПГУ
для детектирования ботнет – активности, основываясь на изучении характеристик потока, таких как время начала и окончания потока, средний
размер пакета в потоке, отклонение от среднего размера пакета и номер
порта назначения. Этот метод позволяет отслеживать тот трафик подозрительной активности, который не видит автоматизированная система,
так как она считает его вполне нормальным и не блокирует.
Мы основываемся на методе, который был рассмотрен в статье [3] исследователями Кембриджского университета. Они получили хорошие результаты в ходе поиска искусственно созданного ботнета. В работе [3]
отмечена сильная зависимость эффективности от выбранных характеристик потока.
На начальном этапе было выдвинуто предположение: потоки, которые
будут сильно коррелировать, у которых будут общие закономерности,
вероятно, и будут являться деятельностью ботнета (части ботнета).
Ход действий:
1. Была создана программа на языке С++, которая захватывает пакеты
сети ПГУ и записывает информацию о каждом пакете в базу данных
MySQL. Причем захватываются только те пакеты, которые соответствуют протоколу tcp (transmission control protocol) и port 3389 (порт протокола удаленного рабочего стола rdp). Порт 3389 был выбран в качестве
начальной фильтрации пакета, так как поток трафика очень большой, а
95