490 likes | 666 Views
بسم الله الرحمن الرحیم. مروری بر روشهای کشف شبکهروباتی به وسیله پروتکل جریانشبکه. پدرام امینی استاد راهنما: دکتر عراقی زاده. فهرست مطالب. مقدمه مسئله و اهداف اصلی تحقیق تعریف مفاهیم مطالعات انجام گرفته روشهای تشخیص منابع. مقدمه (1 از 3).
E N D
مروری بر روشهای کشف شبکهروباتیبه وسیله پروتکل جریانشبکه پدرام امینی استاد راهنما: دکتر عراقی زاده
فهرست مطالب • مقدمه • مسئله و اهداف اصلی تحقیق • تعریف مفاهیم • مطالعات انجام گرفته • روشهای تشخیص • منابع
مقدمه (1 از 3) • پیشرفت سازمانها نیازمندی به اطلاعات و مبادله آن را افزایش داده است. از این رو راهکارهای امنیتی متعددی تولید و پیشنهاد شده است: دیوارهای آتش، آنتیویروسها، سیستمهای تشخیص نفوذ، سیستمهای حفاظت از نفوذ، سیستمهای کنترل دسترسی • بکارگیری این تجهیزات امنیتی به صورت مستقل ناکارآمد است و باعث تولید حجم عظیمی از رویدادهای امنیتی و از بین رفتن تمرکز تصمیمات مدیریتی و عدم هماهنگی سازمانی میشود [1].
مقدمه (2 از 3) • سامانه مرکز عملیات امنیت راهکاری است که برای تجمیع تصمیمات مدیریتی، هدایت و کنترل مستمر فرماندهی، و هماهنگی راهکارهای امنیتی و حفاظتی ارائه شده است که با بهرهمندی از هوشمندی، امکان مدیریت رویدادها را جهت کشف بیدرنگ حملات و تهدیدات فراهم میسازد [2]. • یکی از تهدیداتی که شبکه اطلاعاتی سازمانها را دچار آسیب و اختلال میکند، اشباع لینک ارتباطی است. پروتکل جریانشبکه که وظیفه آنالیز ترافیک و ذخیره اطلاعاتی درباره ماهیت ترافیک شبکه را دارد، در عیبیابی شبکه، بهبود عملکرد و افزایش دسترسپذیری کاربران، نقش اساسی ایفا میکند [3].
مقدمه (1 از 3) • پیشرفت سازمانها نیازمندی به اطلاعات و مبادله آن را افزایش داده است. از این رو راهکارهای امنیتی متعددی تولید و پیشنهاد شده است: دیوارهای آتش، آنتیویروسها، سیستمهای تشخیص نفوذ، سیستمهای حفاظت از نفوذ، سیستمهای کنترل دسترسی • بکارگیری این تجهیزات امنیتی به صورت مستقل ناکارآمد است و باعث تولید حجم عظیمی از رویدادهای امنیتی و از بین رفتن تمرکز تصمیمات مدیریتی و عدم هماهنگی سازمانی میشود [1].
مقدمه (3 از 3) • پروتکل جریان شبکه در شناسایی عاملهای تولیدکننده بار اضافی به شبکه، مفید است. از این رو در شناسایی برنامههای غیرمتعارف تولیدکننده ترافیک غیرمجاز یا بار اضافی به شبکه و تشخیص شبکه روباتها بسیار موثر است [2]. • شبکه روباتی مجموعهای از روباتهای نرمافزاری هوشمند و مرتبط بههم هستند که از طریق کرمها، اسبهای تروجان یا سایر کدهای مخرب اجرا میشوند تا گروهی از عملیاتهای سایبری را در شبکه انجام دهند [4].
مسئله و اهداف اصلی تحقیق • این تحقیقدر راستای بیان الگوریتمهای موجود، جهت کشف شبکه روباتی به وسیله پروتکل جریان شبکه است. • این الگوریتمها، روشهایی هستند که توسط مقالات علمی معتبر ارائه و اثبات شدهاند یا اینکه پیشنهاد شدهاند. • هدف اصلی این تحقیق، مرور این روشها و ارائه مستندی که شامل مجموعه همه روشهای موجود است.
تعریف مفاهیم – SOC ( 1 از 4) • سامانه مرکز عملیات امنیت، با اعلان هشدار به کارشناسان مرکز امنیت، آنان را در واکنش سریع و به موقع، نسبت به حمله یا تهدید صورت گرفته، یاری میرساند. مدیریت موثر رویدادها، بررسی ترافیک شبکه به صورت متمرکز و بیدرنگ، تحلیل ریسک شبکه، مدیریت موثر وصلههای امنیتی و بروزرسانی نرمافزارها، از مهمترین قابلیتهای SOC محسوب میشوند [2].
تعریف مفاهیم – SOC ( 2 از 4) • دیوارهای آتش، آنتیویروسها، سیستمهای تشخیص نفوذ، سیستمهای حفاظت از نفوذ، سیستمهای کنترل دسترسی و ... منابع تولیدکننده رویدادهای امنیتی محسوب شده و معمولا حسگرهای مرکز عملیات امنیت نامیده میشوند.
تعریف مفاهیم – SOC ( 3 از 4) • واحدهای تجمیع رویدادها، رویدادهای امنیتی حسگرها را جمعآوری میکنند و پس از پردازش اولیه، با قالبی یکسان در بانک اطلاعاتی رویدادها ذخیره میکنند. • یک واحد هوشمند وظیفه تحلیل این رویدادها را به منظور کشف همبستگی بین رویدادها، حملات و تهدیدات به صورت بلادرنگ دارند تا در صورت تشخیص هر تهدید، واکنش مناسب را انجام دهد.
تعریف مفاهیم – SOC ( 4 از 4) • این تحلیلها، براساس مقایسه رویدادهای تولید شده با اطلاعات پایگاه دانش رویدادها ( که بر مبنای سیاستها، آسیبپذیریها، الگوهای حمله، وضعیتهای صحیح تجهیزات و ... بهروزرسانی میشود، ) است. • در صورت کشف هر تهدید، واکنشهای اولیه انجام میشود تا از آسیبپذیری بیشتر جلوگیری شود. • سپس رویدادهای امنیتی تولیدشده بررسی شده، وصلهها و پیکربندیهای لازم اعمال میشود تا از تهدیدات مشابه جلوگیری گردد [2].
تعریف مفاهیم – Netflow ( 1 از 4) • جریانشبکه یک پروتکل شبکه است که وظیفه آنالیز ترافیک را برعهده دارد. این پروتکل اطلاعاتی درباره ماهیت ترافیک ذخیره میکند؛ در واقع اطلاعاتی درباره اینکه چه کسی، چه وقت و چگونه از ترافیک شبکه استفاده کرده است را نگهداری میکند. • در گذشته، رصد ترافیک شبکه به وسیله پروتکل SNMP صورت میگرفت که با توجه به کاستیهای این پروتکل و نیازمندیهای جدید (برای مثال پروتکل SNMPبرای اینکه مشخص کند چه کسی از پهنای باند استفاده کرده است زیاد مفید نیست)، پروتکل جریانشبکه جهت جمعآوری اطلاعات ترافیک لایه IP طراحی و تولید شده است [3].
تعریف مفاهیم – Netflow ( 2 از 4) • پس از فعال شدن پروتکل جریانشبکه روی رابطهای روتر یا سوئیچ، رصد اطلاعات ترافیک آغاز میشود. • پس از پایان یافتن هر جریان، اطلاعات هر جریان در قالب پروتکل UDP، روی پورت تنظیم شده (که معمولا یکی از پورتهای 2055، 9555 یا 9995 انتخاب میشود،) به جمعآورکننده جریان شبکه ارسال میشود. • به طور کلی از هر جریان، این اطلاعات ذخیره میشود: رابط ورودی، IP مبدا، IP مقصد، پورت مبدا، پورت مقصد، نوع پروتکل لایه 3، نوع سرویس [3].
تعریف مفاهیم – Netflow ( 4 از 4) • دادههای جریانشبکه محدودیتهایی دارند [6]: • آنها شامل ظرفیت انتقال نمیشوند. • نمیتوانند مدت و تعدادهای انتقالیافته یک جریان را مشخص سازند. • این پروتکل، فقط میتواند دادههای یک جهت ارتباط شبکه را رصد کند و از این رو half-duplexمحسوب میشود. • نمونهبرداری از شبکههای تحت نظارت به صورت چنددستهی بزرگ یا با حذف ترافیک واقعی جمعآوری میشود.
تعریف مفاهیم – Botnet (1 از 2) • شبکهروباتها به سه دسته تقسیم میشوند [5]: • متمرکز: روبات سرور مرکزی دستورات را به روباتهای کلاینت ارسال میکند. • P2P: هر روبات با روبات دیگر ارتباط برقرار میکند. • غیرساختیافته: روباتها از یکدیگر اطلاعی ندارند و پیوسته شبکه را پویش میکنند تا اتصالی که از طرف مهاجم میآید را شناسایی کنند.
مطالعات انجام گرفته (1 از 4) • با هدف برطرف شدن بسیاری از چالشهای امنیتی شبکهها، پروتکل جریانشبکه ارائه شد [7]. • پروتکل جریانشبکه اطلاعاتی را تولید میکند که در رصد و امنیت شبکهها موثر است [9]. • دادههای پروتکل جریانشبکه در تشخیص تهدیداتی مانند انکار سرویس [14]، SYN/RST، RST/FIN [8] و کشف هرزنامهها [13] موثر هستند.
مطالعات انجام گرفته (2 از 4) • برای کشف شبکهروباتها، مرجع [10] روشی برپایه رفتار ماشینهای آلوده به روبات و [12] روشی برای کشف شبکهروبات P2P ارائه کرده است. • مرجع [11] روشی برپایه جریان شبکه، دادهکاوی و الگوریتم PageRank پیشنهاد داده و مرجع [6] روشی برپایه همبستگی افقی و عمودی روباتها، بیان کرده است.
مطالعات انجام گرفته (3 از 4) • مرجع [15] مروری بر روشهای کشف شبکهروباتها داشته و آن را به چهار دسته کشف براساس امضا، ناهنجاری، DNS و دادهکاوی تقسیمبندی کرده است. • مرجع [16] تحقیقات روی شبکهروباتها را به سه دسته روشهای درک، کشف و ردیابی، و دفاع برابر شبکهروباتها کلاسبندی کرده است. • مراجع [17] و [18] نیز مروری بر مطالعات حوزه شبکهروباتها داشتهاند. • مرجع [19]، مروری بر جدیدترین حملات و راههای دفاع در برابر این حملات داشته و مرجع [20] که طبقهبندی بر مطالعات در سه حوزه رفتار، کشف و دفاع در برابر شبکهروباتها داشته است.
مطالعات انجام گرفته (4 از 4) • مراجع [21] و [22] مروری کوتاه بر کاربرد پروتکل جریانشبکه در تشخیص شبکهروباتها انجام شده است.
روشهای تشخیص • همبستگی دادهها • IRC • PageRank • DNS • MapReduce • روابط آماری • یادگیری ماشینی
روشهای تشخیص – 1-همبستگی داده ها • تشخیص از طریق همبستگی عمودی، کشف کانال و دستورات داده شده توسط سرور به روباتها را بیان میکند. تشخیص از طریق همبستگی افقی، کشف شبکهروباتها براساس الگوی رفتاری جمعیت که توسط مجموعهای از روباتها در پاسخ به دستورات بر خود جای میگذارند را بیان میکند [6]. • Bilgeو همکارانش در مرجع [6] روشی برای متمایز کردن کانال سرور روباتها از کانال ترافیک عادی شبکه براساس سه ویژگی پروتکل جریانشبکه، ویژگیهای مبتنی بر اندازه جریان (که تعداد بایتهای انتقال یافته در یک جهت بین دو نقطه نهایی را برای جریانی خاص مشخص میکند)، ویژگیهای مبتنی بر الگوهای دسترسی کلاینت (الگوی ایجاد ارتباط بین کلاینتهای آلوده با سرور بدخواه)، و ویژگیهای مبتنی بر زمان (کلاینتهای آلوده و سرور بدخواه در دورههای زمانی مختلفی باهم ارتباط برقرار میکنند)، ارائه کردهاند.
روشهای تشخیص – 2-سرور IRC (1 از 4) • پروتکل Internet Relay Chat، یک سیستم چت مبتنی بر متن است که در ارتباطات گروهی همزمان استفاده میشود. تفسیر دستورات ساده، ارائه پشتیبانی مدیریتی، پیشنهاد بازیهای ساده و بازیابی اطلاعات سیستمعاملها، ورودها به سیستم، آدرسهای ایمیل، نامهای مستعار و غیره را دارد [24]. • IRCمفهومی است که به کاربران اجازه ارتباط با یکدیگر را به صورت بلادرنگ میدهد. هر شبکه مجزا که سرور IRC نامیده میشود، شامل چندین هزار کاربر است که به شبکه متصل شدهاند.
روشهای تشخیص – 2-سرور IRC (2 از 4) • هر شبکه شامل اتاقهای گفتگو مختلفی است که کانال نامیده میشوند. کاربران براساس علاقهمندی خود به کانالها وصل میشوند. ارتباطات درون کانالها به صورت خصوصی، عمومی یا کلاینت به کلاینت میتواند باشد. سرورها اطلاعات را به و از سرورهای دیگر روی شبکه IRC یکسان بازپخش میکنند [10].
روشهای تشخیص – 2-سرور IRC (3 از 4) • یکی از روشهای متداول برای ارتباط مهاجم با شبکهروباتها استفاده از IRC است؛ ماشینهای آلوده به صورت خودکار به یک کانال خاص روی یک سرور عمومی یا خصوصی IRC وصل میشوند تا دستورالعملها را دریافت کنند. به هر کاربر که ارتباطی با سرور IRC برقرار میکند، نام یکتایی تعلق میگیرد که نام مستعار خوانده میشود [10]. • این پروتکل جهت کشف میزبانهای آلوده به روباتها استفاده میشود. • Goebel و Holz در مرجع [10] متدولوژی جهت کشف شبکهروبات ارائه میکنند که برای هر ارتباط IRC، یک شی ارتباط ایجاد میشود و اطلاعات زمان ارتباط مشکوک، آدرس IP و پورت میزبان منبع مشکوک، آدرس IP و پورت سرور IRC مقصد، کانال و نام مستعار به همراه یک شناسه ذخیره میشود.
روشهای تشخیص – 2-سرور IRC (4 از 4) • شناسه ترکیب IP مبدا و مقصد و پورت مقصد است. • زمانی که اتصالی به یک کانال ایجاد میشود، اگر شی با شناسه بیان شده وجود نداشته باشد، ایجاد میشود، در غیر این صورت بهروزرسانی میشود. صفی از اشیاء ایجاد میشود و زمانی که شیای به روزرسانی یا ایجاد میشود، به جلو صف انتقال مییابد و با قطع هر ارتباط، شی مربوطه از صف حذف میشود. • پس از استخراج اطلاعات تحلیل انجام میشود و هشدارهای لازم مرتبط با هر شناسه تولید میشود.
روشهای تشخیص – 3-PageRank (1 از 4) • الگوریتم PageRank یک الگوریتم آنالیز خطی است که توسط موتور جستجو Google استفاده میشود تا اهمیتی نسبتی به هر صفحه وب روی اینترنت بدهد. • PageRank امتیاز هر صفحه وب را براساس ساختار لینک روی اینترنت تعیین میکند. هرچه یک صفحه توسط صفحههای دیگر بیشتر مورد ارجاع باشد، نشاندهنده اهمیت بیشتر آن است. • مقیاسپذیری و بهرهوری فوق العاده PageRank سبب شده تا کاندیدی ایدهآل برای تجزیه و تحلیل ساختار لینک میان میزبان برقراری ارتباط در شبکههایی با مقیاس بزرگ باشد.
روشهای تشخیص – 3-PageRank (2 از 4) • از PageRank برای شناسایی شبکهروباتی P2P استفاده میشود؛ چون هر روبات باید با تعداد زیادی از روباتها ارتباطات آغاز کند و مقصد ارتباط تعداد زیادی از روباتها باشد [11]. Francois و همکارانش در مرجع [11] معماریای به نام BotTrackارائه دادهاند که برپایه تحلیل دادههای پروتکل جریانشبکه و الگوریتم PageRank است.
روشهای تشخیص – 3-PageRank (3 از 4) • در این معماری، روترها ترافیک شبکه را رصد میکنند و دادههای جریانشبکه را به جمعکننده میفرستند. سپس دادهها به BotTrackارسال میشود تا تحلیل دادهها انجام شود. • در گام اول فعلوانفعالات بین سیستمها در قالب یک گراف وابستگی رسم میشود. • سپس این گراف توسط الگوریتم PageRank تحلیل میشود تا گرههایی که ارتباطات زیادی با سایر گرهها داشتهاند استخراج شوند. • در گام سوم، گرههای مشکوک با توجه به نقش و ارتباطاتشان بررسی میشوند تا با دقت بیشتری تشخیص انجام شود. • در پایان از تکنیکهای کاهش استفاده میشود تا با توجه به گرههای آلوده شناخته شده از قبل و خوشهها، گروههای روبات تشخیص داده شود [11].
روشهای تشخیص – 4-DNS(1 از 2) • این روش براساس تعریف الگوریتمی برای تمایز قائل شدن بین درخواستهای قانونی از DNS با درخواستهای روباتها از DNS است [28]. • Vleik در مرجع [13] روشی برپایه تحلیل دادههای NetFlow و DNS پیشنهاد کرده است.
روشهای تشخیص – 4-DNS(2 از 2) • Fast Flux مکانیزمی است که یک مجموعه از تغییرات آدرسهای IP را به یک نام دامنه یکتا مرتبط میکند. • Domain Flux مکانیزمی است که یک مجموعه از نامها دامنه را به صورت خودکار و در فواصل زمانی معین به یک آدرس IP یکتا مرتبط میکند. • این دو مکانیزم، راههای جدیدی برای جلوگیری از کشف روباتها هستند [19]. • Hangو همکارانش در مرجع [19] مروری بر تکنیکهای کشف روباتهای FF و DF با استفاده از DNS و آنالیز ترافیک شبکه دارند.
روشهای تشخیص – 5-MapReduce(1 از 2) • MapReduce یک مدل برنامهنویسی برای پردازش مجموعه دادههای بزرگ با الگوریتم موازی توزیع شده روی یک خوشه و پیادهسازیای مرتبط برای پردازش و تولید مجموعه دادههای بزرگ است که تابع طیف گستردهای از وظایف در دنیای واقعی است. • کاربران تابع Mapای که یک زوج کلید/مقدار را پردازش میکند تا یک مجموعه از زوج کلید/مقدار واسطه تولید کند و یک تابع Reduce که همه مقادیر واسطه مرتبط با کلید واسطه یکسان را ادغام کند را مشخص میکنند. برنامههای نوشته شده در این سبک تابع به صورت خودکار موازی هستند و روی یک خوشه بزرگی از ماشینها اجرا میشوند [26]. • به طور خلاصه MapReduce انتزاعی سطح بالا از پردازش موازی معرفی شده توسط Google است [27].
روشهای تشخیص – 5-MapReduce(2 از 2) • در مرجع [25]، Hong-ling و همکارانش روشی برای تشخیص برخط شبکهروباتی براساس MapReduce پیشنهاد کردهاند. این روش تشخیص شبکهروباتی برپایه تجزیه و تحلیل ترافیک شبکه و استخراج روابط دورن جریانها است. تجزیه و تحلیل دادهها در بستری ابری انجام میشود که باعث میشود تسخیر دادهها و تجزیه و تحلیل آن به طور همزمان انجام شود و تشخیص به صورت برخط گزارش شود. • Francois و همکارانش در مرجع [27] برپایه پروتکل جریانشبکه و MapReduce متدولوژی معرفی میکنند که میتواند در تشخیص شبکهروباتهای P2P بکار گرفته شود. براساس این متدولوژی، دادههای NetFlow تجزیه و تحلیل میشود و گراف وابستگی رسم میشود. الگوریتم PageRank و MapReduce روی گراف وابستگی اجرا میشوند تا تشخیص صورت بپذیرد.
روشهای تشخیص – 6- روابط آماری • بیشتر روشهایی که برای کشف شبکهباتی ارائه شدهاند، از مباحث آماری استفاده نمودهاند. • Karasaridis و همکارانش متدولوژی برپایه محاسبات ارائه کردهاند. این متدولوژی برای کشف شبکهباتها در شبکه بزرگ Tier 1 ISP بکار میرود. متدولوژی ارائه شده براساس 4 سطح ارائه شده است: • عاملهای متراکم، شناسایی میزبانهایی با رفتار مشکوک و جداسازی رکوردهای جریان به/از آن میزبانها • تجزیه و تحلیل فعالیتهای جریان تا شناسایی جریانهای کنترل کاندید و خلاصه آنها به مکالمات • متراکمسازی و تجزیه و تحلیل مکالمات کنترل کاندید تا جداسازی کنترلرهای مشکوک و پورتهای کنترلکننده • ارسال گزارشها و هشدارها
روشهای تشخیص – 7- یادگیری ماشینی • یادگیری ماشینی مجموعهای از روشهای محاسباتی مبتنی بر تجربه و تحلیل هستند و معمولا با پیشبینیهای دقیق، موجب بهبود عملکرد میشوند. • Livadasو همکارانش در مرجع، روشی برپایه یادگیری ماشینی ارائه میکنند تا جریانهای تولید شده توسط باتها تشخیص داده شوند. این روش برای تشخیص باتهای IRC در دو گام ارائه شده است؛ در گام اول، تمام ارتباطات به جز TCP نادیده گرفته شده (چون باتهای IRC از TCP استفاده میکنند) و در بین ارتباطات باقیمانده، جریانهای چت از غیرچت جدا میشوند. گام دوم، جریانهای چت با استفاده از یادگیری ماشینی به دو کلاس جریانهای چت واقعی و جریانهای چت باتها، تقسیمبندی میشوند.
نتیجه گیری • راهکارهای متعددی برای کشف شبکهروباتها ارائه شده است؛ یکی از این راهکارها، استفاده از دادههای پروتکل جریانشبکه است. • حجم کم دادهها، سادگی محاسبات، مثبتکاذب پایین و برخط بودن، برخی از معیارهای برتری این روش بر سایر روشها است. • پیادهسازی الگوریتمهای کشف شبکهروباتها با استفاده از دادههای پروتکل جریان شبکه بر روی سامانههای مرکز عملیات امنیت مانند OSSIM، سبب تشخیص برخط و سریع تهدیدات شبکهباتها با پایینترین درصد مثبتکاذب در شبکه میشوند.
منابع(1 از 9) 1- علی امیری، علیرضا نوروزی، پیادهسازی مرکز عملیات امنیت به صورت نرمافزاری، دومین کنفرانس ملی مهندسی نرمافزار لاهیجان، دانشگاه آزاد اسلامی واحد لاهیجان، 10 و 11 آبان 1391. 2- ضرورت ایجاد مرکز عملیات امنیت از نگاه پدافند غیرعامل، مرکز پدافند غیرعامل فاوا، آدرس: http://www.ic4i.ir/portal/index.php?option=com_docman&task=doc_download&gid=244&Itemid=125. 3- IdilioDrago, Rafael R. R. Barbosa, RaminSadre, AikoPras, Jürgen Schönwälder, Report of the Second Workshop on the Usage of NetFlow/IPFIX in Network Management, Journal of Network and Systems Management, Vol. 19, Issue 2, pp. 298-304, June 2011.
منابع(2 از 9) 4- سید حسین رجاء، بررسی و ارائه مقایسه بین Botnetهای مبتنی بر سرور و Botnetهای مبتنی بر کلاینت، دومین همایش ملی مهندسی کامپیوتر، برق و فناوری اطلاعات، دانشگاه آزاد اسلامی واحد خمین، اردیبهشت 1391. 5- محسن رضوانی، ابولفضل سرکردهیی، بررسی روشهای تشخیص Botnetها، سومین همایش ملی مهندسی کامپیوتر و فناوری اطلاعات، مرکز آموزش و فرهنگی سما همدان، بهمن 1389. 6- LeylaBilge, DavideBalzarroti, William Robertson, EnginKirda, Christopher Kruegle, DISCLOSURE: Detecting Botnet Command and Control Servers Through Large-Scale NetFlow Analysis, Proceedings of the 28th Annual Computer Security Applications Conference, New York, pp. 129-138, 2012.
منابع(3 از 9) 7- Myungjin Lee, Nick Duffield, RamanaRaoKompella, Two Samples are Enough: Opportunistic Flow-level Latency Estimation using NetFlow, Proceedings of the 29th conference on Information, IEEE Press Piscataway, pp. 2196-2204, 2010. 8- ShivamChoudhary, BhargavSrinivasan, Usage of Netflow in Security and Monitoring of Computer Networks, International Journal of Computer Applications, April 2013, Volume 68, No.24. 9- Christian Dietz, Passive Remote Detection of Network Address Translation (NAT) by using NetFlow, University of Applied Sciences, February 2013.
منابع(4 از 9) 10- Jan Goebel, Thorsten Holz, Rishi: Identify Bot Contaminated Hosts by IRC Nickname Evaluation, Proceedings of the first conference on First Workshop on Hot Topics in Understanding Botnets, Berkeley, 2007. 11- Jerome Francois, Shaonan Wang, Radu State, and Thomas Engel, BotTrack: Tracking Botnets using NetFlow and PageRank, Proceedings of the 10th International IFIP TC 6 Conference on Networking, Berlin, pp. 1-14, 2011. 12- ReinierSchoof, Ralph Koning, Detecting Peer-to-Peer Botnets, February 2007. 13- GertVliek, Detecting spam machines, a Netfow-data based approach, University of Twente, Netherlands, February 2009.
منابع(5 از 9) 14- Gao, Y., Li, Z., and Chen, Y, “A DoS Resilient Flow-Level Intrusion Detection Approach for High-Speed Networks”, Proceedings of the 26th IEEE International Conference on Distributed Computing Systems, pp. 39, 2006. 15- Feily, M., Shahrestani, A., and Ramadass, S., “A Survey of Botnet and Botnet Detection”, Proceedings of the Third International Conference on Emerging Security Information, Systems and Technologies, Athens, pp. 268-273, June 2009. 16- Zhaosheng, Z., Guohan, L. Yan C., Zhi F., Roberts, P., and Keesook H., “Botnet Research Survey”, Proceedings of the 32nd Annual IEEE International Computer Software and Applications, Turku, pp. 967-972. July 2008.
منابع(6 از 9) 17- Bailey, M., Cooke, E., Jahanian, F., Yunjing, X., and Karir, M., “A Survey of Botnet Technology and Defenses”, Proceedings of the Conference For Homeland Security, Cybersecurity Applications & Technology, Washington, pp. 299-304, March 2009. 18- Li, C., Jiang, W., and Zou, X., “Botnet: Survey and Case Study”, Proceedings of the Fourth International Conference on Innovative Computing, Information and Control, Kaohsiung, pp. 1184 - 1187, December 2009. 19- Lei Z., Shui, Y., Di, W., and Watters, P., “A Survey on Latest Botnet Attack and Defense”, Proceedings of the 10th International Conference on Trust, Security and Privacy in Computing and Communications, Changsha, pp. 53 – 60, November 2011.
منابع(7 از 9) 20- Khattak, S., Ramay, N., Khan, K., Syed, A., and Khayam, S., “A Taxonomy of Botnet Behavior, Detection, and Defense”, Journal of Communications Surveys & Tutorials, IEEE, Vol. PP, Issue 99, pp. 1-27, October 2013. 21- Li, B., Springer, J., Bebis, G., and Gunes, Mehmet H., “A Survey of Network Flow Application”, Journal of Network and Computer Application, pp. 567-581, 2013. 22- Sperotto, A. Schaffrath, G., Sadre, R., Morariu, C., Pars, A., and Stiller, B., “An Overview of IP Flow-based Intrusion Detection”, Communications Surveys & Tutorials, IEEE, Vol. 12, Issue 3, pp. 343-356, Third Quarter 2010.
منابع(8 از 9) 23- Strayer, W. T., Lapsely, D., Walsh, R., and Livadas, C., “Botnet Detection Based on Network Behavior”, Botnet Detect, Springer, pp. 1-24, 2008. 24- Thapliyal, M., Bijalwan, A., Garg, N., and Pilli, Emmanuel S., “A Generic Process Model for Botnet Forensic Analysis”, Proceedings of the Conference on Advances in Communication and Control Systems, 2013. 25- Hong-ling, J., Xiu-li, S., and Yao-fang, L., “Online Botnet Detection Algorithm Using MapReduce”, Journal of Electronics & Information Technology, Vol. 35, Issue 7, pp. 1732-1738, July 2013.
منابع(9 از 9) 26- Dean, J., and Ghemawat, S., “MapReduce: Simplified Data Processing on Large Clusters”, Communications of the ACM, Vol. 51, Issue 1, pp. 107-113, January 2008. 27- Francois, J., Wang, S., Bronzi, W., State, R., and Engle, T., “BotTrack: Detecting Botnets using MapReduce”, Proceedings of the IEEE International Workshop on Information Forensics and Security, Iguacu Falls, pp. 1-6, December 2011. 28- Choi, H., Lee, H., Lee, H., and Kim, H., “Botnet Detection by Monitoring Group Activities in DNS Traffic”, Proceedings of the 7th IEEE International Conference on Computer and Information Technology, Fukushima, pp. 715 – 720, October 2007.