利用域名查詢失敗及封包特性之殭屍網路偵測法

Abstract

最近幾年，殭屍網路（botnet）成為了網際網路上的主要威脅，駭客使用殭屍網路來進行像分散式（DDoS）網路不法行為，而使用者經常要等到事態嚴重時才會發現，這是因為駭客控制殭屍網路的流量是不易被發覺的。 本篇論文針對殭屍網路藏匿在正常網路流量下的行為提出偵測方法，我們分析了殭屍（bot）找尋指揮與控制伺服器（command and control server）的方法，以及殭屍和指揮與控制伺服器通訊的特性，提出了以域名服務（DNS） 查詢失敗為基礎的偵測方式，並描述了一種用來偵測殭屍網路指揮與控制的流量的方法。我們計算時間持續性以及封包差異性來找出長時間內經常連線且通訊封包大小相似的IP配對，並使用向量支援機（SVM）分類。我們的方法不需要事先對於此殭屍網路通訊方式的了解，也不需要檢視封包內容，就能偵測出數種殭屍網路。 最後，我們收集了多個殭屍網路的流量，以及真實世界的流量來評估我們系統的正確性，並和知名的殭屍網路偵測系統BotHunter比較正確性。實驗結果顯示我們提出的系統能強化現存的偵測系統。

In recent years, botnets have become a major threat to the internet, hacker use botnets to carry out a variety of illegal activities on the Internet, and users will not be found until the situation worsens, because it is difficult to find the botnet’s C&C traffic on Internet. This thesis proposes a detection method to detect botnets hiding in the normal network traffic. We analyzed the way of bots to find C&C server, and features of those bots’ communication with C&C server. We calculated temporal persistence and packet difference to find out IP pairs connect frequently and exchange packets in similar size. The system uses an SVM-based classification engine to identify C&C traffic and normal traffic. Our method does not require a-priori information about botnet communications, nor do we require payload inspection. Finally, we collected a number of botnet network traffic and real-world traffic trace to evaluate our system’s accuracy, and compare accuracy with BotHunter. The experimental results show that our proposed system can strengthen the existing detection system.