Метод виокремлення фрагментів бот-мереж на основі аналізу мережевого трафіку

МЕТОД ВИОКРЕМЛЕННЯ ФРАГМЕНТІВ БОТ-МЕРЕЖ НА ОСНОВІ АНАЛІЗУ МЕРЕЖЕВОГО ТРАФІКУ

METHOD OF DETECTING FRAGMENTS OF BOTNETS BASED ON THE ANALYSIS OF NETWORK TRAFFIC

Сторінки: 141-149. Номер: №2, 2020 (283)
Автори:
А.О. НІЧЕПОРУК, А.А. НІЧЕПОРУК, Ю.О. НІЧЕПОРУК, А.Д. КАЗАНЦЕВ
Хмельницький національний університет
A.O. NICHEPORUK, A.A. NICHEPORUK, Y.O. NICHEPORUK, A.D. KAZANTSEV
Khmelnytskyi National University
DOI: https://www.doi.org/10.31891/2307-5732-2020-283-2-141-149
Рецензія/Peer review : 26.05.2020 р.
Надрукована/Printed : 16.06.2020 р.

Анотація мовою оригіналу

В роботі запропоновано метод виявлення фрагментів бот-мереж на основі аналізу мережевого трафіку. Метод заснований на представленні шкідливої активності, що здійснюють боти в локальній мережі у вигляді зваженого орієнтованого графу, де вершинами виступають хости мережі, а ребрами – зв’язки між хостами.  З метою виявлення шкідливої активності на хості використаємо IDS Snort – мережеву систему виявлення вторгнень, що працює за принципом мережевих сніферів. Всі шкідливі активності розподілено сім категорій: контроль, сканування, спам, отримання інформації, завантаження, атака та категорія інші Зв’язність графу забезпечується наявністю ребер, які мають ваги.  Вагою ребра, що з’єднує два вузли, є імовірність того, що два вузли є частиною однієї бот-мережі. Для визначення імовірності того, що два вузли є частиною однієї бот-мережі використовується правило Байєса. Оновлення вагів ребер відбувається після кожного інтервалу часу в межах загального часу моніторингу шкідливої активності. Наприкінці часу моніторингу здійснюється розбиття отриманого графу на підграфи, що відповідають окремим бот-мережам. Для розбиття графу на підграфи розроблений алгоритм, що дозволяє виділити фрагменти різних бот-мереж, які присутні в локальній мережі. Представлений алгоритм використовує “жадібний” підхід та  ґрунтується на обчисленні максимального виграшу, який може принести перенесення будь-якої вершини в той чи інший підграф розбиття.
Ключові слова: бот-мережа, мережевий трафік, орієнтований граф, хост.

Розширена анотація англійською мовою

The paper proposes a method of detecting fragments of botnets based on the analysis of network traffic. The proposed method depends primarily on the temporary relationships of malicious actions between computers on the network and does not depend on the architectures of botnets and the tools used to manage them. The method is based on the representation of malicious activity performed by bots in the local network in the form of a weighted oriented graph, where the vertices are the hosts of the network, and the edges are the connections between the hosts. In order to detect malicious activity on the host, we use IDS Snort – a network intrusion detection system that works on the principle of network sniffers. All malicious activities are divided into seven categories: control, scanning, spam, information retrieval, downloads, attacks and other categories. The connectivity of the graph is ensured by the presence of edges that have weights. The weight of the edge connecting the two nodes is the probability that the two nodes are part of the same bot network. The Bayesian rule is used to determine the probability that two nodes are part of the same bot network. The edge weights are updated after each time interval within the total time of harmful activity monitoring. At the end of the monitoring time, the obtained graph is divided into subgraphs corresponding to individual bot networks. An algorithm has been developed to divide a graph into subgraphs, which allows to select fragments of different bot networks that are present in the local network. The presented algorithm uses a “greedy” approach and is based on the calculation of the maximum gain that can bring the transfer of any vertex in a subgraph of the partition. To verifying the effectiveness of the proposed method, a number of experiments were performed, which included determining the fact of the presence of a botnet on a local computer network.
Keywords: botnet, network traffic, oriented graph, host.

References

1. Kapre A., Padmavathi B. Behaviour based botnet detection with traffic analysis and flow interavals using PSO and SVM. International Conference on Intelligent Computing and Control Systems: Proceedings (Madurai, India, 15-16 June 2017). Madurai, 2017. P. 718–722.
2. Jaikumar P., Kak A.C.A graph-theoretic framework for isolating botnets in a network. Security and Communication Networks. 2012. Vol. 5. No. 6. P. 2605–2623.
3. Li S.H., Kao Y.C., Zhang Z.C., Chuang Y.P., Yen D.C. A Network Behavior-Based Botnet Detection Mechanism Using PSO and K-means. ACM Transactions on Management Information Systems. 2015. Vol. 6. Issue 1. 3–12.
4. Stevanovic M., Pedersen J. M. An analysis of network traffic classification for botnet detection. Cyber Situational Awareness, Data Analytics and Assessment: Proceedings (London, UK, June 8–9 2015). London, 2015. P. 1–8.
5. Chen S.C., Chen Y.R., Tzeng W.G. Effective Botnet Detection Through Neural Networks on Convolutional Features. The 17th IEEE International Conference On Trust, Security And Privacy In Computing And Communications. 12th IEEE International Conference On Big Data Science And Engineering: Proceedings (New York, NY, USA, 1–3 August 2018 ). New York, 2018. 372–378.
6. Thangapandiyan M., Anand P. M. An efficient botnet detection system for P2P botnet. International Conference on Wireless Communications, Signal Processing and Networking: Proceedings (Chennai, India, May 23-25). Chennai,2016. P. 1217–1221.
7. Zhang C., Green R. Communication security in internet of thing:preventive measure and avoid ddos attack over iot network. Proceedings of the 18th Symposium on Communications & Networking. Societyfor Computer Simulation International, 2015, P. 8–1
8. IDS Snort. URL: https://www.snort.org/