Teszthálózat tervezése botnet detektáló algoritmus vizsgálatához

OData támogatás
Konzulens:
Dr. Fehér Gábor
Távközlési és Médiainformatikai Tanszék

Napjainkban az Interneten történő, összetettebb támadások hátterében leggyakrabban valamilyen vírussal fertőzött számítógépekből álló hálózatok, a botnetek állnak. Ezeket egy ember vagy egy csoport, az ún. botmaster irányítja egy vezérlő (C&C – Command & Control) csatornán keresztül. A botneteket leggyakrabban elosztott szolgáltatás-megtagadással járó támadásra (DDoS – Distributed Denial-of-Service), kéretlen reklámokat, adathalász vagy trójai programot tartalmazó e-mail küldésére, valamint személyes adatok ellopására használják.

Az ezen hálózatok elleni védekezés nem egyszerű. A fertőzéshez a vírusok a számítógépek sebezhetőségeit vagy a felhasználók hiszékenységét használják ki, majd a háttérben megbújva futnak és várják az utasításokat. A modernebb vírusok képesek módosítani saját kódjukat is, így a vírusírtó programok sem jelentenek biztos megoldást.

A botnetek hatalmas károkat képesek okozni, éppen ezért fontos az ellenük való minél hatékonyabb védekezés. A dolgozatban egy erre a célra kidolgozott architektúrát mutatok be, mely tervezésekor a kiemelt szempont az elosztott, skálázható, anonim működés, valamint az esetleges támadásokkal szembeni minél nagyobb ellenállás volt, legfontosabb célja pedig a botnetek hatékony és megbízható felismerése.

Feladatom a diplomamunka során a detekciót végző algoritmus vizsgálata volt. Ehhez egy olyan teszthálózatot terveztem meg és implementáltam, melyben lehetőség van a valós rendszerhez hasonlóan a hálózaton belüli forgalmat elemezni, azonban a külvilágtól megfelelően el van szigetelve, hogy a felhasznált vírusok ne juthassanak ki a teszthálózaton kívülre.

A teszthálózat implementálása után forráskódból fordított illetve a rendszer által egy külön kártékony kódok gyűjtésére felállított számítógépből (ún. honeypotból) automatikusan gyűjtött vírusokkal is teszteket végeztem. Célom annak vizsgálata, hogy képes-e az algoritmus a kártékony kódok forgalmát felismerni, és ha igen, mennyire hatékonyan.

A mérések során arra a következtetésre jutottam, hogy az algoritmus bár képes felismerni a kártékony kódok forgalmát, azonban a kártékonynak nyilvánított, de valójában ártalmatlan találatok aránya nem eléggé alacsony széleskörű használathoz. Ezt az algoritmus finomhangolásával, illetve esetlegesen fehér és szürke listák bevezetésével, illetve távlati tervként egyfajta adaptív tanuló algoritmus hozzáadásával lehetne csökkenteni. A jelenlegi állapotban viszont mindenképpen szükséges a gyanúsnak ítélt forgalmak a rendszergazda általi áttekintése.

Letölthető fájlok

A témához tartozó fájlokat csak bejelentkezett felhasználók tölthetik le.