Методи виявлення бот-мереж в комп’ютерних системах

Abstract

Об’єкт. Процес виявлення бот-мереж у корпоративних мережах на основі аналізу мережевого трафіка та поведінки програмного забезпечеення комп’ютерних системах. Предмет. Методи виявлення бот-мереж в комп’ютерних системах. Мета. Підвищення достовірності виявлення бот-мереж шляхом розроблення методів їх виявлення бот-мереж в корпоративних мережах. Результати. Запропоновано новий підхід до виявлення бот-мереж в корпоративних мережахна основі аналізу поведінки ботів. Виявлення бот-мереж здійснюється шляхом застосування розроблених двох методів: за допомогою аналізу на мережному рівні та на хостовому рівні. Перший метод дозволяє аналізувати поведінку програмного забезпечення на хості, що може вказувати на можливу присутність бота безпосередньо на хості і виявлення шкідливого програмного забезпечення, тоді як другий метод включає в себе моніторинг і аналіз DNS-трафіка, що також дозволяє зробити висновок про інфікування мережних хостів ботами бот-мережі. На основі запропонованих методів було розроблено ефективний інструмент виявлення бот-мереж - BotGRABBER. Він здатний виявляти боти, які використовують такі методи ухилення від виявлення як періодична зміна IP-відображення (cycling of IP mapping), «потік доменів» (domain flux), « швидкозмінні» мережі (fast flux) та DNS-тунелювання (DNS tunneling). Висновки. Використання розробленої системи дозволяє виявляти інфіковані ботами бот-мереж хости і локалізувати шкідливі програми з високою ефективністю – до 96%, а також демонструє низькі помилкові спрацьовування –на рівні 3-5%. Особливість запропонованого підходу полягає в тому, що виявлення бот-мереж є «невидимим» для власників бот-мереж.

Object. The process ofthebotnets detection in the corporate area networks based on network traffic analysis and on the of computer systems software’s behavior. Subject. Methods for botnets detection in computer systems. Goal. Increasing of the botnet detection efficiency by developing new methods forits detection in the corporate networks. Results. A new approach for the botnet detection in the corporate area networks based on the analysis of the bots’ behavior is proposed. The detection of botnets is accomplished by applying the developed two methods: by means of network-level and host-level analysis. The first method allows you to analyze the behavior of the software on the host, which may indicate the possible presence of the bot directly on the host and the detection of malicious software, while the second method involves monitoring and analysis of DNS traffic, which also allows to make a conclusion about infection ofnetwork hosts withbotnets. Based on the proposed methods, an effective tool for botnet detection - BotGRABBER - was developed. It is capable of detecting bots that use such evasion methods as IP mapping, fastflux, domain flux, and DNS tunneling. Conclusions. The usage of the developed system allows to detect the hosts infected with botnet and localize malware with high efficiency - up to 96%, and also shows low rate of false positives 3-5%. A feature of the proposed approach is that the detection of botnets is "invisible" to botnet owners.