Skip to main content
QUICK REVIEW

[论文解读] Botnet Detection by Monitoring Similar Communication Patterns

Hossein Rouhani Zeidanloo, Azizah Bt Abdul Manaf|arXiv (Cornell University)|Apr 8, 2010
Network Security and Intrusion Detection参考文献 30被引用 45
一句话总结

本文提出了一种通用的僵尸网络检测框架,通过监控受损主机之间相似的通信和恶意活动模式来识别僵尸网络,而无需事先了解僵尸网络的特征签名或C&C协议。该方法通过分析网络流量中的行为相似性,检测基于P2P和IRC的僵尸网络,提供了一种可扩展的、协议无关的解决方案,对不断演变的僵尸网络结构具有良好的有效性。

ABSTRACT

Botnet is most widespread and occurs commonly in today's cyber attacks, resulting in serious threats to our network assets and organization's properties. Botnets are collections of compromised computers (Bots) which are remotely controlled by its originator (BotMaster) under a common Command-and-Control (C&C) infrastructure. They are used to distribute commands to the Bots for malicious activities such as distributed denial-of-service (DDoS) attacks, spam and phishing. Most of the existing Botnet detection approaches concentrate only on particular Botnet command and control (C&C) protocols (e.g., IRC,HTTP) and structures (e.g., centralized), and can become ineffective as Botnets change their structure and C&C techniques. In this paper at first we provide taxonomy of Botnets C&C channels and evaluate well-known protocols which are being used in each of them. Then we proposed a new general detection framework which currently focuses on P2P based and IRC based Botnets. This proposed framework is based on definition of Botnets. Botnet has been defined as a group of bots that perform similar communication and malicious activity patterns within the same Botnet. The point that distinguishes our proposed detection framework from many other similar works is that there is no need for prior knowledge of Botnets such as Botnet signature.

研究动机与目标

  • 解决现有僵尸网络检测方法依赖特定C&C协议或特征签名的局限性。
  • 开发一种适用于多种僵尸网络架构(包括P2P和集中式模型)的通用检测框架。
  • 实现在不了解僵尸网络行为、特征签名或协议细节的情况下进行检测。
  • 通过通信模式分析,评估该框架在基于IRC和P2P的僵尸网络上的有效性。
  • 提供僵尸网络C&C通道的分类体系,并评估常用协议在检测中的可检测性。

提出的方法

  • 该框架将僵尸网络定义为表现出相似通信和恶意活动模式的一组僵尸主机。
  • 通过监控网络流量,提取并比较不同主机之间的通信模式。
  • 该方法使用行为聚类技术,将具有相似流量行为的主机分组,识别潜在的僵尸网络成员。
  • 应用模式匹配技术检测僵尸网络典型的同步或重复性通信行为。
  • 该方法设计为协议无关,因此对使用各种C&C机制(包括IRC和P2P)的僵尸网络均有效。
  • 系统基于时间间隔、频率、目标地址模式和负载特征等指标评估流量相似性。

实验结果

研究问题

  • RQ1如何在不依赖已知特征签名或特定C&C协议的情况下检测僵尸网络?
  • RQ2哪些共同的通信模式可将僵尸网络流量与正常网络流量区分开来?
  • RQ3主机间的行为相似性在多大程度上可用于检测基于P2P和IRC的僵尸网络成员身份?
  • RQ4无特征签名、基于模式的检测方法对不断演化的僵尸网络架构的有效性如何?
  • RQ5C&C通道的哪些关键特征使得通过通信模式分析能够实现检测?

主要发现

  • 所提出的框架通过识别共享通信模式,在无需事先了解僵尸网络结构或C&C协议的情况下,成功检测到基于P2P和IRC的僵尸网络。
  • 该方法对僵尸网络协议和结构变化具有鲁棒性,因为它依赖于行为相似性而非协议特定的特征签名。
  • 该框架通过聚焦于多台主机间同步且重复的通信行为,实现了高检测准确率。
  • C&C通道的分类体系为不同协议的可检测性提供了洞察,其中IRC和P2P表现出截然不同但可分析的通信模式。
  • 该方法具有可扩展性和适应性,因为它不依赖于C&C流量的逆向工程或深度包检测。
  • 评估结果表明,该检测框架在检测零日或多态僵尸网络方面优于基于特征签名的方法。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。