Với mục đích phát hiện
botnet, các kỹ thuật và kiến trúc khác nhau đã được đề xuất để loại bỏ mối nguy
hiểm của tấn công botnet. Hơn nữa, các nhà nghiên cứu cũng đã tạo ra những phân
loại khác nhau để hiểu rõ hơn về hiện tượng và cấu trúc của botnet [6, 17,
28-31]. Kỹ thuật phát hiện botnet chủ yếu phân thành hai hướng tiếp cận: đó là
dựa trên cài đặt và cấu hình một mạng honeynet để giám sát và hệ thống phát hiện
xâm nhập (IDS) [24, 26, 29, 31]. Tuy nhiên, trong phần này, cung cấp một phân
loại mới của kỹ thuật phát hiện botnet dựa trên phân tích đặc điểm và cách sử dụng
DNS cũng như việc cấy ghép chúng. Trong những năm gần đây, hệ thống phân giải
tên miền (DNS) bị hacker lạm dụng và thành công trong việc giữ được hệ thống độc
hại, tàng hình và có tổ chức.
Hình
2: Phân loại các kỹ thuật phát hiện botnet
Do đó, các nghiên cứu hiện nay bắt đầu hướng tới cách tiếp cận phát hiện botnet, tận dụng những tính năng đặc biệt giữa lành tính và độc hại của DNS và cách sử dụng chúng [19]. Mặc dù có nhiều phân loại phát hiện botnet, nhưng vẫn chưa có phân loại kỹ thuật phát hiện botnet dựa trên phân tích DNS nào hoàn toàn khả dụng. Hình 2 miêu tả các phân loại kỹ thuật phát hiện botnet dựa trên phân tích lưu lượng DNS.
Weimer [32] đã đề xuất
một hệ thống thu thập tên miền thụ động từ truy vấn DNS và lưu trữ chúng vào một
cơ sở dữ liệu dùng để phân tích hành vi độc hại. Tương tự, Zdrnja và cộng sự
[33] ứng dụng khái niệm giám sát thụ động để phát hiện những truy vấn DNS bất
thường. Các tác giả tranh luận tiềm năng của việc phân biệt DNS hiếm thấy hoặc
bất thường từ những hành vi DNS lành tính. Tuy nhiên, các tác giả không đề cập
đến những tính năng của DNS cần phải nắm bắt và lưu trữ [33].
Việc phát hiện botnet dựa
trên phân tích lưu lượng DNS là có tiềm năng để nhận biết các botnets trong thế
giới thực mà không có bất kỳ sự hiểu biết nào về phương thức truyền thông và cấu
trúc của chúng [28]. Các kỹ thuật phát hiện botnet dựa trên phân tích lưu lượng
DNS được coi như là một hướng nghiên cứu đầy hứa hẹn đề chống lại mối nguy hiểm
từ botnet, qua đó các cuộc tấn công có thể bị lẩn tránh trước khi nó xảy ra. Mục
đích chính của bài viết này là cung cấp sự hiểu biết về những đề xuất nghiên cứu
trong lĩnh vực phát hiện botnet dựa trên đặc điểm của lưu lượng DNS. Với suy
nghĩ đó, bài viết này theo dõi và cung cấp tổng quan những kỹ thuật phát hiện
botnet nổi tiếng nhất.
Hướng
tiếp cận dựa trên Honeynet
Cách tiếp cận dựa trên
Honeynet chủ yếu dùng để phân tích và hiểu biết về hành vi và đặc điểm của
botnet. Honeynet mô phỏng lại những phần mềm đã biết và những lỗ hổng mạng lưới
đã bị nhiễm độc bởi botnets. Honeynet được
chuẩn bị để tự khống chế và cản trở mở rộng của botnet. Hơn nữa, Honeynet được
dùng để khám phá khả năng của các cuộc tấn công chưa biết, hệ thống máy chủ
C&C, các công cụ, kỹ thuật và động cơ của các cuộc tấn công [6]. Các hướng
tiếp cận và các kỹ thuật khác nhau được đề xuất dựa trên hệ thống honeynet để nắm
giữ những đặc tính của botnets [25, 35-39]. Các honeynet là đáng kể tìm hiểu về
công nghệ và đặc tính của botnet. Một trong những công trình được biết đến dùng
truy vấn DNS là một đề xuất của Oberheide và cộng sự. [36] người đã áp dụng những
thống kê cơ bản trên việc thu thập truy vấn DNS. Công việc này xử lý các truy vấn
DNS nhắm tới mục tiêu không gian địa chỉ chưa được sử dụng (tức là, darknet) và
phát triển khái niệm hệ thống honeydns để hỗ trợ honeypots để ngăn chặn kẻ tấn
công bắt đầu cuộc tấn công của họ [40, 41].
Mặc dù tất cả những điều
đó, hệ thống dựa trên honeynet là dễ để xây dựng và triển khai với yêu cầu tài
nguyên và giá cả thấp. Tuy nhiên, ở đây có một số hạn chế của hệ thống honeynet
bao gồm khả năng mở rộng và sự tương tác bị hạn chế với những hành động độc hại.
Hơn nữa, những kẻ tấn công có thể dùng honeynet để tìm ra những kỹ thuật trốn
tránh mới. Kết quả là, honeynet nhằm mục đích nhận ra các tính năng và cơ chế của
botnet, những không phát hiện được những bot nhiễm độc mọi lúc [24].
Hệ
thống phát hiện xâm nhập (IDS)
Hệ thống phát hiện xâm
nhập (IDS) để phát hiện botnet có thể phân ra thành 2 kỹ thuật đó là: IDS dựa
trên chữ ký/ hành vi và IDS dựa trên sự bất thường.
IDS dựa trên chữ ký
IDS dựa trên chữ ký
Kỹ thuật dựa trên chữ
ký chỉ phát hiện những bots đã biết thông qua việc kết hợp chữ ký sử dụng IDS
như là Snort [47]. Một cách tiếp cận danh sách đen dựa trên DNS (DNSBL) đã được
đề xuất bởi Ramachandran và cộng sự. [48] là một ví dụ hệ thống phát hiện
botnet dựa trên chữ ký. Hướng tiếp cận dựa trên DNSBL tìm kiếm chữ ký bot đã biết
trong việc giám sát lưu lượng DNS. Hướng tiếp cận dựa trên DNSBLcũng xuất bản
những hành động spam và đọc hại thông qua thu thập địa chỉ IP của các máy chủ
hoặc mạng nào đó có liên quan đến những hành động trên. Hướng tiếp cận dựa trên
DNSBL cố gắng ghi nhận địa chỉ của botmaster và xác định vị trí của họ như
trong hình 3. Tuy nhiên, giới hạn của hướng tiếp cận dựa trên DNSBL trong việc
duy trì cập nhật cơ sở dữ liệu địa chỉ độc hại đã biết. Thật không may, một
trong những dòng phòng thủ chống lại sự lạm dụng DNS là tên miền trong danh
sách đen [49, 50].
Hình
3: Kiến trúc giảm spam dựa trên DNSBL [2]
Tương tự, Antonakakis và cộng sự [51] đã xây dựng một hệ thống danh tiếng DNS động gọi là “Notos” dùng dữ liệu truy vấn DNS thụ động, phân tích mạng và tính năng vùng của một tên miền như biểu diễn ở hình 4. Hệ thống Notos giả định rằng truy vấn DNS độc hại có đặc điểm đặc biệt và có thể phân biệt với những truy vấn DNS lành tính. Do đó, việc quan sát các truy vấn DNS và xây dựng những mô hình của những tên miền độc hại và lành tính là khả thi và có thể dẫn đến một kết quả tốt. Điểm số danh tiếng của một tên miền được quan sát bởi máy tính bằng mô hình sẽ gửi điểm số thấp đối với tên miền độc hại và điểm số cao với tên miền lành tính để thấy sự khác nhau giữa chúng. Hệ thống Notos đã đạt được độ chính xác cao và tỷ lệ sai lệch thấp, và nó có thể ghi nhận những tên miền mới trước khi chúng được đưa vào danh sách đen. Tuy nhiên, hệ thống cần nhiều lịch sử cho một tên miền nhất định để đạt tới một điểm số chính xác, và nó là không chính xác đối với việc thường xuyển thay đổi tên miền máy chủ C&C như là kiến trúc botnet lai dùng rất nhiều nút C&C để phân phối lệnh của chúng.
Hình
4: Hệ thống danh tiếng động DNS [2]
Trái với công việc trước đây, hệ thống “người cố vấn” được đề xuất bởi Kheir và cộng sự [2] phụ thuộc vào việc loại bỏ các tên miền hợp pháp ra khỏi danh sách trên miền đen botnet C&C để làm giảm tỷ lệ sai lệch trong quá trình phát hiện, thể hiện ở hình 5. Hệ thống người cố vấn có khả năng mở rộng quy mô, hệ thống DNS danh tiếng tích cực tự động loại bỏ các bản ghi tên miền lành tính hoặc không độc hại bên trong danh sách đen tên miền botnet, C&C. Hệ thống người cố vấn thu thập, thống kê tính năng của các tên miền bị nghi ngờ như thuộc tính của DNS, nội dung web để xây dựng một mô hình DNS cắt tỉa áp dụng kỹ thuật học máy có giám sát vào bộ tên miền lành tính và độc hại đã được biết. Kết quả của của hệ thống người cố vấn có hiệu quả khi thử nghiệm trên danh sách đen công khai, và nó loại bỏ các tên miền lành tính có tỷ lệ sai lệch rất thấp.
Hình
5: Tổng quan hệ thống Mentor
Yadav và cộng sự [53] đề xuất một hướng tiếp cận để phát hiện “domain fluxes” trong lưu lượng DNS thông qua việc tìm kiếm các mẫu được tạo bởi thuật toán trong tên miền và những thứ khác với tên miền do con người tạo ra. Họ quan sát thấy sự phân bố ký tự, số cùng với những bigram của các ánh xạ tên miền tới cùng một tập địa chỉ IP. Tuy nhiên, hệ thống này bị giới hạn trong việc phát hiện tên miền C&C chỉ với những phần mềm độc hại đã biết thực hiện chính xác trong giai đoạn huấn luyện, bởi vậy nó không xác định được những botnet chưa biết. Bảng 1 tổng kết lại các kỹ thuật phát hiện botnet dựa trên chữ ký DNS. Nhìn chung, kỹ thuật phát hiện dựa trên chữ ký có nhiều hạn chế; Chủ yếu là họ cần phải liên tục cập nhật để phát hiện các botnet mới hoặc các cuộc tấn công botnet zero-day trong đó các chữ ký đang phát triển.
Bảng
1: Tổng hợp các kỹ thuật phát hiện botnet dựa trên chữ ký DNS
Đề xuất
|
Cơ chế
|
Hạn chế
|
DNSBL [48]
|
Thu thập những địa
chỉ IP công khai của các máy chủ
|
Cập nhật danh
sách đen dựa trên DNS và khó khăn để thiết kế kỹ thuật trốn tránh.
|
Notos [51]
|
Hệ thống DNS danh
tiếng động, sử dụng dữ liệu truy vấn DNS thụ động để phân tích tính năng mạng
của một tên miền.
|
Cần nhiều lịch sử
cho một tên miền nhất định để tạo điểm số danh tiếng, không đáng tin với các
botnet lai.
|
Mentor [52]
|
Loại bỏ các trên
miền hợp pháp từ danh sách đen các tên miền botnet C&C.
|
Cần thường xuyên
cập nhật thông tin cho hệ thống
|
Domain fluxes [53]
|
Phát hiện thông
lượng tên miền trong lưu lượng DNS, Tìm kiếm các mẫu được tạo ra bởi thuật
toán vốn có với tên miền
|
Giới hạn với các
botnet đã biết, các cuộc tấn công trốn tránh trong quá trình phân tích
|
Kỹ thuật dựa trên sự bất
thường hay dựa trên hành vi cố gắng phát hiện các botnet thông qua việc phân
tích lưu lượng mạng từ sự bất thường như sự gia tăng đột ngột lưu lượng mạng, lưu
lượng đến cổng bất thường, độ trễ mạng cao và những hành vi bất thường khác có
thể nhận ra sự tồn tại của các botnet trong mạng [24]. Những cách tiếp cận trên
có thể nhận biết được các botnet mới. Kỹ thuật dựa trên sự bất thường có thể
phân thành 2 loại: kỹ thuật phát hiện botnet dựa trên mỗi máy (host-based) và dựa trên mạng (network-based).
Kỹ thuật phát hiện bất thường dựa trên máy chủ
Kỹ thuật phát hiện bất thường dựa trên máy chủ
Trong hướng tiếp cận dựa
trên host, quá trình giám sát và phân tích mang tính cục bộ xảy ra tại mỗi máy
tính cá nhân để phát hiện những hoạt động độc hại thông qua giám sát xử lý hệ
thống, tiếp cận tới mức sử dụng kernel và cuộc gọi tới hệ thống [6]. Một ví dụ
của kỹ thuật dựa trên host là BotSwat đã được đề xuất bởi Stinson và Mitchell
[54]. BotSwat tập trung vào cách các bots trả lời dữ liệu nhận được qua mạng
thông qua việc giám sát thực thi nhị phân Win32 tùy ý. Tuy nhiên, hạn chế chính
của kỹ thuật phát hiện botnet dựa trên host là nó không có khả năng mở rộng và
hạn chế chỉ mới những bots cùng với sự giám sát hosts. Hơn nữa, để có cái nhìn
bao quát trong mạng, mỗi máy (host) phải được trang bị những công cụ giám sát mạnh
mẽ và hợp tác với các máy khác [24].
Một trong những kỹ thuật quan trọng tập trung giám sát lưu lượng DNS tại host hoặc mạng là nền tảng EFFORT được đề xuất bởi Shin và cộng sự [55]. Nền tảng này nhằm mục đích phát hiện hiệu quả và có hiệu lực thông qua ứng dụng các tiếp cận đa mô đun và sự chỉ dẫn mỗi liên hệ tương quan từ các máy khác nhau và khía cạnh cấp độ mạng được biểu diễn tại hình 6.
Nền tảng EFFORT dùng một
thuật toán học máy có giám sát để phân biệt tên miền truy vấn từ các tên miền
lành tính hoặc độc hại. Nền tảng EFFORT không phụ thuộc vào topo mạng, triển
khai giao thức truyền thông và có khả năng phát hiện các giao thức bị mã hóa.
Tuy nhiên, nền tảng EFFORT bị giới hạn trong phạm vi của nó với các botnet dựa
trên dịch vụ DNS để xác đinh địa chỉ của các máy chủ C&C. Theo kiến thức tốt
nhất của chúng tôi, EFFORT chỉ là một nền tảng phát hiện botnet dựa trên host
DNS có sẵn trong tài liệu [55] (bảng 2).
Hình
6: Tổng quan hệ thống EFFORT
Bảng 2: Kỹ thuật phát hiện botnet dựa trên host-DNS
Đề xuất
|
Cơ chế
|
Thuật toán
|
Yếu điểm
|
EFFORT
Shin và cộng sự [55]
|
Áp
dụng đa mô đun để tương quan các chỉ dẫn liên quan đến bot từ các
client/networks.
|
SVM
( Máy hỗ trợ véc tơ)
|
-Dễ
bị tổn thương với các kỹ thuật trốn tránh khác nhau.
-Giới
hạn truy cập botnet trên DNS.
|
No comments:
Post a Comment