Geri Dön

Generating content-based signatures for detecting bot-infected machines

Botlar tarafından ele geçirilmiş bilgisayarların tespit edilmesi için içerik tabanlı imzaların üretilmesi

  1. Tez No: 177195
  2. Yazar: LEYLA BİLGE
  3. Danışmanlar: YRD. DOÇ. DR. ALİ AYDIN SELÇUK
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2008
  8. Dil: İngilizce
  9. Üniversite: İhsan Doğramacı Bilkent Üniversitesi
  10. Enstitü: Mühendislik ve Fen Bilimleri Enstitüsü
  11. Ana Bilim Dalı: Bilgisayar Mühendisliği Bölümü
  12. Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
  13. Sayfa Sayısı: 93

Özet

Botnet'ler botmaster adı verilen saldırganlar tarafından uzaktan kontrol edilip yönetilebilen, ele geçirilmiş makinalardan oluşan ağlardır. Botnetler genelde dağıtık hizmet engelleme saldırıları uygulamakö reklam içerikli e-posta göndermek ya da kimlik hırsızlığı yapmak için kullanılırlar. Son yıllarda, kötü niyetli faliyetlerdeki temel amaç, haker topluluğundaki özenti çocukların saygınlık kazanma isteklerinden daha çok organize saldırılarla finansal kazanç sağlamaktır. Bu değişim, daha sofistike kötü niyetli faliyetler yapabilme özelliği olan botnetlerin sayısındaki artışın nedenini de açıklar. Son zamanlarda, araştırmacılar botnetleri yakalamak için yoğun çalışmalar yapmaktalar. Şimdiye kadar geliştirilen sistemler, bazı bot özelliklerine, çoğalma yöntemlerine ya da saldırı şekillerine odaklandıkları için ne yazık ki çok sınırlıdırlar. Biz, ağ trafiğini izleyerek, yerel ağdaki bot tarafından ele geçirilmiş makinaları tespit eden bir sistem sunuyoruz. Bizim amacımız, bot yayılma vektöründen bağımsız bir şekilde ele geçirilmis makinaları tespit eden daha genel bir yakalama yönetmi geliştirmektir. Bunun için, botların en belirgin karakteristiği olan komut alma ve komuta itaat etmek özelliğinden yararlanıyoruz. Bot tarafından üretilmiş ağ trafiğini inceleyip, komutları ve cevaplarını tespit ediyoruz. Ardından, belirli bot davranışlarını tetikleyen benzer komutlardan, komut ve kontrol protokolü hakkında bir ön bilgiye sahip olmadan bot yakalama imzaları üretiyoruz. Ürettiğimiz imzalar, bir üniversitenin trafiğini izleyen ve denetleyen bir IDS'e uygulanmıştır. Yaptığımız deneylerin sonunda, bizim sistemimizin bot tarafından ele geçirilmiş makinaları çok düşük orandaki yanlış alarmlar ile yakaladığı ortaya çıkmıştır.

Özet (Çeviri)

A botnet is a network of compromised machines that are remotely controlled andcommanded by an attacker, who is often called the botmaster. Such botnets areoften abused as platforms to launch distributed denial of service attacks, sendspam mails or perform identity theft. In recent years, the basic motivationsfor malicious activity have shifted from script kiddie vandalism in the hackercommunity, to more organized attacks and intrusions for ¯nancial gain. This shiftexplains the reason for the rise of botnets that have capabilities to perform moresophisticated malicious activities. Recently, researchers have tried to developbotnet detection mechanisms. The botnet detection mechanisms proposed to datehave serious limitations, since they either can handle only certain types of botnetsor focus on only speci¯c botnet attributes, such as the spreading mechanism, theattack mechanism, etc., in order to constitute their detection models.We present a system that monitors network tra±c to identify bot-infectedhosts. Our goal is to develop a more general detection model that identi¯essingle infected machines without relying on the bot propagation vector. To thisend, we leverage the insight that all of the bots get a command and perform anaction as a response, since the command and response behavior is the uniquecharacteristic that distinguishes the bots from other malware. Thus, we examinethe network tra±c generated by bots to locate command and response behaviors.Afterwards, we generate signatures from the similar commands that are followedby similar bot responses without any explicit knowledge about the commandand control protocol. The signatures are deployed to an IDS that monitors thenetwork tra±c of a university. Finally, the experiments showed that our systemis capable of detecting bot-infected machines with a low false positive rate.

Benzer Tezler

  1. Glio-SERS: Artificial intelligence and surface enhanced raman spectroscopy driven liquid biopsy method for brain tumor classification

    Glio-SERS: Beyin tümörlerinin sınıflandırılması için yapay zeka ve yüzey güçlendirilmiş raman spektroskopisi tabanlı sıvı biyopsi yöntemi

    HÜLYA TORUN

    Doktora

    İngilizce

    İngilizce

    2024

    BiyomühendislikKoç Üniversitesi

    Biyomedikal Bilimler ve Mühendislik Ana Bilim Dalı

    PROF. DR. İHSAN SOLAROĞLU

    PROF. DR. UTKAN DEMİRCİ

  2. Ağ trafiğinde etkili olan özniteliklerin tespiti ve yapay sinir ağları ile trafiklerin izin tahmini

    Detection of features that are effective in network traffic and permission estimation of traffic with artifical neural network

    MUHAMMED ÖZDEMİR

    Yüksek Lisans

    Türkçe

    Türkçe

    2024

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolSakarya Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ HÜSEYİN ESKİ

  3. Polimorfik solucan saldırılarının tespiti

    Detection of polymorphic worm attacks

    BURAK BAYOĞLU

    Doktora

    Türkçe

    Türkçe

    2010

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolGebze Yüksek Teknoloji Enstitüsü

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DOÇ. DR. İBRAHİM SOĞUKPINAR

  4. How cryptographic implementations affect mobile agent systems

    Şifreleme gerçekleştirmelerinin gezgin aracı internet sistemlerini nasıl etkilediği

    İSMAİL ULUKUŞ

    Yüksek Lisans

    İngilizce

    İngilizce

    2003

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolBoğaziçi Üniversitesi

    Sistem ve Kontrol Mühendisliği Ana Bilim Dalı

    PROF. DR. EMİN ANARIM

  5. Uydu verileri ile İstanbul Boğazı ve Haliç'de su kirliliğinin makro düzeyde belirlenmesi

    Intrepretation at macro level as pollution of water resources of remotely sensed data of Bosphorus and golden horn estuary by an unsupervised and supervised classification method

    H.GONCA COŞKUN

    Doktora

    Türkçe

    Türkçe

    1992

    Jeodezi ve Fotogrametriİstanbul Teknik Üniversitesi

    PROF. DR. CANKUT ÖRMECİ