3. Cấu trúc luận văn
2.1.2. Phát hiện bị động
Phương pháp phát hiện thụ động phát hiện các Botnet bằng việc quan sát và phân tích các hoạt động của Botnet. Phương pháp phát hiện thụ động có hai kỹ thuật chính là cú pháp (Syntactic) và ngữ nghĩa (Semantic).
Syntactic: Việc xác định Botnet dựa trên cú pháp hoặc cách tiếp cận dựa trên dấu hiệu được thực hiện bằng cách so sánh với các mẫu Botnet đã xác định thu được từ tập dữ liệu mẫu. Rishi là một cách tiếp cận dựa trên cú pháp để phát hiện bots IRC. Nó xây dựng biểu thức chính quy như là một dấu hiệu để xác định bot. Snort có một cơ sở dữ liệu dấu hiệu đa dạng và được sử dụng bởi BotHunter cùng với các thành phần phát hiện dựa trên dấu hiệu bất thường khác để đưa ra các cảnh báo. Phát hiện dựa trên dấu hiệu có thể bị giảm hiệu quả nếu các Botnet sử dụng các cơ chế tránh phát hiện mạnh như mã hóa. Ngoài ra các mối đe dọa mới mà chưa có dấu hiệu nào đã biết sẽ hoàn toàn không bị phát hiện. Do đó, phương pháp này nên được bổ sung bằng phương pháp phát hiện dựa trên hành vi.
Semantic: Phương pháp phát hiện ngữ nghĩa sử dụng bối cảnh của sự kiện và thông tin giao thức để phát hiện hành vi nguy hiểm. Quá trình phát hiện bot đòi hỏi phải phân tích cẩn thận và được dựa trên độ lệch từ những hành vi thông thường với hành vi của một bot.
27
thông thường. Kỹ thuật tương quan thực hiện trên dữ liệu sơ cấp và thứ cấp. Dữ liệu sơ cấp là tất cả các hoạt động nhằm duy trì hoạt động của Botnet. Dữ liệu thứ cấp là các hành vi độc hại của bot.
-Vertical: Tương quan dọc liên quan đến hoạt động của một bot và so sánh nó với các mô hình hành vi của bot. Mô hình lấy nhiễm là 1 quá trình gồm 5 bước: quét hệ thống, khai thác lỗ hổng, tải về mã độc, sử dụng tập hợp hội thoại của các bot và tấn công lây nhiễm. BotTracer sử dụng kỹ thuật máy ảo đề phát hiện Botnet dựa trên ba trạng thái trong vòng đời Botnet là tự động khởi động, thiết lập kết nối với máy chủ C&C và tấn công.
-Horizontal: Tương quan ngang phát hiện bot bằng cách quan sát các hoạt động thông thường của máy tính và các hoạt động giao tiếp giữa bot và máy chủ.
Behavioral Analysis: là một lớp khác của kỹ thuật phát hiện dựa trên ngữ nghĩa. Phân tích Botnet bằng cách quan sát độ lệch của hành vi giữa một mô hình thông thường với các hành vi của một Botnet đã biết. Phân tích hành vi có thể được chia thành 2 nhóm là Host-based hoặc Network-based.
-Host-based tìm kiếm dấu hiệu của hành vi bot giống như trên một máy chủ. BotSwat phát hiện máy nhiễm Botnet bằng cách xác định hành vi phản hồi lệnh. Nó theo dõi các chương trình có sử dụng dữ liệu nhận được từ các nguồn không đáng tin cậy (dữ liệu bị nhiễm độc) và xem xét khả năng có phải là dữ liệu khởi động bot từ xa hay không. Nó liên quan đến một tập hợp các cuộc gọi hệ thống với các hoạt động bot, được gọi là „gate functions'. Máy sẽ bị nghi ngờ là nhiễm Botnet, nếu dữ liệu bị nhiễm độc được thông qua như là đối số tới „gate functions‟.
-Network-based sử dụng thông tin từ lưu lượng mạng và các dịch vụ để phát hiện bot. Nó thường đòi hỏi phải phân loại lưu lượng vào các ứng dụng mạng và tìm
28
kiếm các hành vi giống như bot trong lưu lượng mạng của các ứng dụng. Phát hiện dựa trên payload sẽ không hiệu quả nếu các lưu lượng mạng được mã hóa và liên quan đến vấn đề riêng tư của người dùng. Lu et al. sử dụng phương pháp kiểm tra dấu hiệu payload để phân loại lưu lượng và phát hiện ra rằng 40% lưu lượng mạng không thể được phân loại thành các ứng dụng cụ thể. Một số phương pháp tập trung vào việc phát hiện các Botnet dựa trên IRC và do đó đòi hỏi phân chia lưu lượng mạng thành 2 thành phần IRC và không phải IRC.