Generating content-based signatures for detecting bot-infected machines
Botlar tarafından ele geçirilmiş bilgisayarların tespit edilmesi için içerik tabanlı imzaların üretilmesi
- Tez No: 177195
- Danışmanlar: YRD. DOÇ. DR. ALİ AYDIN SELÇUK
- Tez Türü: Yüksek Lisans
- Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
- Anahtar Kelimeler: Belirtilmemiş.
- Yıl: 2008
- Dil: İngilizce
- Üniversite: İhsan Doğramacı Bilkent Üniversitesi
- Enstitü: Mühendislik ve Fen Bilimleri Enstitüsü
- Ana Bilim Dalı: Bilgisayar Mühendisliği Bölümü
- Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
- Sayfa Sayısı: 93
Özet
Botnet'ler botmaster adı verilen saldırganlar tarafından uzaktan kontrol edilip yönetilebilen, ele geçirilmiş makinalardan oluşan ağlardır. Botnetler genelde dağıtık hizmet engelleme saldırıları uygulamakö reklam içerikli e-posta göndermek ya da kimlik hırsızlığı yapmak için kullanılırlar. Son yıllarda, kötü niyetli faliyetlerdeki temel amaç, haker topluluğundaki özenti çocukların saygınlık kazanma isteklerinden daha çok organize saldırılarla finansal kazanç sağlamaktır. Bu değişim, daha sofistike kötü niyetli faliyetler yapabilme özelliği olan botnetlerin sayısındaki artışın nedenini de açıklar. Son zamanlarda, araştırmacılar botnetleri yakalamak için yoğun çalışmalar yapmaktalar. Şimdiye kadar geliştirilen sistemler, bazı bot özelliklerine, çoğalma yöntemlerine ya da saldırı şekillerine odaklandıkları için ne yazık ki çok sınırlıdırlar. Biz, ağ trafiğini izleyerek, yerel ağdaki bot tarafından ele geçirilmiş makinaları tespit eden bir sistem sunuyoruz. Bizim amacımız, bot yayılma vektöründen bağımsız bir şekilde ele geçirilmis makinaları tespit eden daha genel bir yakalama yönetmi geliştirmektir. Bunun için, botların en belirgin karakteristiği olan komut alma ve komuta itaat etmek özelliğinden yararlanıyoruz. Bot tarafından üretilmiş ağ trafiğini inceleyip, komutları ve cevaplarını tespit ediyoruz. Ardından, belirli bot davranışlarını tetikleyen benzer komutlardan, komut ve kontrol protokolü hakkında bir ön bilgiye sahip olmadan bot yakalama imzaları üretiyoruz. Ürettiğimiz imzalar, bir üniversitenin trafiğini izleyen ve denetleyen bir IDS'e uygulanmıştır. Yaptığımız deneylerin sonunda, bizim sistemimizin bot tarafından ele geçirilmiş makinaları çok düşük orandaki yanlış alarmlar ile yakaladığı ortaya çıkmıştır.
Özet (Çeviri)
A botnet is a network of compromised machines that are remotely controlled andcommanded by an attacker, who is often called the botmaster. Such botnets areoften abused as platforms to launch distributed denial of service attacks, sendspam mails or perform identity theft. In recent years, the basic motivationsfor malicious activity have shifted from script kiddie vandalism in the hackercommunity, to more organized attacks and intrusions for ¯nancial gain. This shiftexplains the reason for the rise of botnets that have capabilities to perform moresophisticated malicious activities. Recently, researchers have tried to developbotnet detection mechanisms. The botnet detection mechanisms proposed to datehave serious limitations, since they either can handle only certain types of botnetsor focus on only speci¯c botnet attributes, such as the spreading mechanism, theattack mechanism, etc., in order to constitute their detection models.We present a system that monitors network tra±c to identify bot-infectedhosts. Our goal is to develop a more general detection model that identi¯essingle infected machines without relying on the bot propagation vector. To thisend, we leverage the insight that all of the bots get a command and perform anaction as a response, since the command and response behavior is the uniquecharacteristic that distinguishes the bots from other malware. Thus, we examinethe network tra±c generated by bots to locate command and response behaviors.Afterwards, we generate signatures from the similar commands that are followedby similar bot responses without any explicit knowledge about the commandand control protocol. The signatures are deployed to an IDS that monitors thenetwork tra±c of a university. Finally, the experiments showed that our systemis capable of detecting bot-infected machines with a low false positive rate.
Benzer Tezler
- Glio-SERS: Artificial intelligence and surface enhanced raman spectroscopy driven liquid biopsy method for brain tumor classification
Glio-SERS: Beyin tümörlerinin sınıflandırılması için yapay zeka ve yüzey güçlendirilmiş raman spektroskopisi tabanlı sıvı biyopsi yöntemi
HÜLYA TORUN
Doktora
İngilizce
2024
BiyomühendislikKoç ÜniversitesiBiyomedikal Bilimler ve Mühendislik Ana Bilim Dalı
PROF. DR. İHSAN SOLAROĞLU
PROF. DR. UTKAN DEMİRCİ
- Ağ trafiğinde etkili olan özniteliklerin tespiti ve yapay sinir ağları ile trafiklerin izin tahmini
Detection of features that are effective in network traffic and permission estimation of traffic with artifical neural network
MUHAMMED ÖZDEMİR
Yüksek Lisans
Türkçe
2024
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolSakarya ÜniversitesiBilgisayar Mühendisliği Ana Bilim Dalı
DR. ÖĞR. ÜYESİ HÜSEYİN ESKİ
- Polimorfik solucan saldırılarının tespiti
Detection of polymorphic worm attacks
BURAK BAYOĞLU
Doktora
Türkçe
2010
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolGebze Yüksek Teknoloji EnstitüsüBilgisayar Mühendisliği Ana Bilim Dalı
DOÇ. DR. İBRAHİM SOĞUKPINAR
- How cryptographic implementations affect mobile agent systems
Şifreleme gerçekleştirmelerinin gezgin aracı internet sistemlerini nasıl etkilediği
İSMAİL ULUKUŞ
Yüksek Lisans
İngilizce
2003
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolBoğaziçi ÜniversitesiSistem ve Kontrol Mühendisliği Ana Bilim Dalı
PROF. DR. EMİN ANARIM
- Uydu verileri ile İstanbul Boğazı ve Haliç'de su kirliliğinin makro düzeyde belirlenmesi
Intrepretation at macro level as pollution of water resources of remotely sensed data of Bosphorus and golden horn estuary by an unsupervised and supervised classification method
H.GONCA COŞKUN