МЕТОД ВИЯВЛЕННЯ БОТ-МЕРЕЖ
08.12.2021 21:18
[1. Інформаційні системи і технології]
Автор: Вінчковський Д.М., магістр спеціальності «Комп’ютерні науки», Західноукраїнський національний університет
Аналіз моделей руху, спрямованих на спостереження, розуміння та характеристики поведінки ботнетів на мережевому рівні, є об'єктом дослідження в цьому дослідженні. Слід зазначити, що незалежно від кількості методів машинного навчання, розглянутих у цій пропозиції, вони можуть бути легко поширені на подальші алгоритми, оскільки наша методологія залишається загальною. На основі аналізу ботнету, проведеного на аналогічних пропозиціях [1, 2, 3], і для вирішення правильної характеристики цього варіанту шкідливих програм, визначено п'ять етапів обробки - збір зразків мережевого трафіку (доброякісних і шкідливих), вимірювання метрик потоку, впровадження моделей машинного навчання, навчання, валідація та оцінка прогнозування.
Отже, метод виявлення бот-мереж представлений наступними кроками:
Крок 1. Збір зразків мережевого трафіку. На даному етапі зразки трафіку отримують з різних зразків ботнету, захоплених в мережі, а також звичайних спостережень за дорожнім рухом. Аналогічним чином представлені набори даних шкідливих програм цифрового мережевого трафіку; або в деяких випадках агреговані метрики вже обробляються з захоплених зразків або на рівні пакета, або на рівні потоку. Цей етап методології відкриває можливість розгортання інструментів моніторингу для отримання захоплень трафіку в контрольованому середовищі або збору їх з наявних наборів даних. Для експериментальних цілей останнє міркування було прийнято в цьому дослідженні, оскільки наша мета полягає в зміцненні порівняння.
Крок 2. Вимірювання показників потоку. З огляду на набір мережевих пакетів, відповідні показники трафіку вимірюються для аналізу загальних моделей трафіку, які характеризують поведінку різних зразків ботнету. Показники мережевого потоку, як правило, представляють кількісні зв'язки, такі як - кількість пакетів, переданих від вихідної IP-адреси 192.168.50.31 до пункту призначення 192.168.50.88 у напрямку вперед, становить 3, при цьому один пакет йде назад. Метрики рівня потоку широко використовуються для моделювання моделей виявлення на основі даних для боротьби з різними мережевими загрозами, маючи оборонні рішення проти DDoS як одного з найбільш періодичних застосувань у літературі.
Крок 3. Реалізація моделі. На цьому етапі модель виявлення будується з вибраними класифікаторами. В результаті огляду літератури були обрані деякі з найбільш поширених методів виявлення ботнету - Дерево рішень, Випадковий ліс, Наївні бухти, K-найближчі сусіди і векторні машини підтримки (SVM).
Крок 4. Навчання. На цьому етапі моделі навчаються за допомогою підмножини набору даних. Навчальні підходи та процеси налаштування, що застосовуються для кожного методу машинного навчання, детально описані далі в цьому розділі.
Крок 5. Перехресна перевірка. Результати кожної моделі виявлення оцінюються за триетапним процесом—(1) встановлення результатів навчання як базового плану, (2) виконання перехресного аналізу набору навчальних даних для кожної сім'ї ботнетів та (3) оцінки точності прогнозування ботнету за допомогою набору тестових даних.
Крок 6. Визначення адекватності отриманих результатів. На основі раніше виправданих можливостей виявлення проводиться поглиблений аналіз, що ставить в перспективу адекватність методів виявлення для кожного типу ботнету.
Література:
1. Gadelrab M.S., ElSheikh M., Ghoneim M.A., Rashwan M. BotCap: Machine learning approach for botnet detection based on statistical features. Int. J. Commun. Netw. Inf. Secur. 2018;10:563–579.
2. Yerima S.Y., Sezer S. DroidFusion: A Novel Multilevel Classifier Fusion Approach for Android Malware Detection. IEEE Trans. Cybern. 2019;49:453–466. doi: 10.1109/TCYB.2017.2777960.
3. Zhou Q., Pezaros D. Evaluation of Machine Learning Classifiers for Zero-Day Intrusion Detection—An Analysis on CIC-AWS-2018 dataset. arXiv. 20191905.03685