KFUPM ePrints

Host-Based Botnet Mitigation Methodology

l Host-Based Botnet Mitigation Methodology. Masters thesis, King Fahd University of Petroleum and Minerals.

[img]PDF - Submitted Version
Restricted to Abstract Only until 11 April 2018.

2823Kb

Arabic Abstract

Botnet هي مجموعة من البرمجيات الخبيثة و التي تشكل شبكة عبر الانترنت ، حيث تتم معظم عمليات الاحتيال والأنشطة/الهجمات على شبكة الانترنت من خلالها. تحديد/كشف هذه البرمجيات الخبيثة هو مجال بحوث نشط في الآونة الأخيرة. معظم المقترحات/الحلول المقدمة قائمة على طرق كشف Botnet في الشبكات المحلية والتي لها الكثير من السلبيات. بحيث أن حركة تراسل Botnet على الشبكات مقارنة بالتطبيقات الأخرى تصعب ملاحظتها و تكاد لا تذكر، وأن أية تعديلات طفيفة على حركة تراسل Botnet مثل تشفير أوامر القيادة والسيطرة (C & C) يسمح لل Botnet التهرب من الكشف. هذه الأطروحة تقدم تقنية للكشف عن Botnet في الأجهزة المحلية. نهجنا هو الكشف على الشذوذ الإحصائي باستخدام تقنية التعلم الذاتي للآلة للقدرة على تصنيف الشذوذ من عدمة. منهجية التخفيف هي من خلال منع Botnet من إرسال / استقبال بيانات عن طريق الشبكة من / إلى Botmaster. تستند تجاربنا على مراقبة حركة ال C & C في الاجهزة المحلية. أداة خاصة تستخدم لمراقبة حركة تراسل/ إستقبال أوامر السيطرة و التحكم (C&C) أسميناها (PCTool). تتم معالجة البيانات التي تم جمعها من PCTool للعثور على المزيد من الميزات الإحصائية لحركة تراسل/إستقبال أوامر السيطرة و التحكم لل Botnet. ومن ثم يتم تدريب SVM باستخدام تلك الميزات لتصنيف البرمجيات الخبيثة عن الحميدة. كان لدينا معدل 94.11٪ نجاح و معدل إيجابية كاذبة يصل إلى 0.14٪.

English Abstract

Botnets are state-of-the-art malware where most frauds and attacks activities on internet are carried out. Bot detection is an active research area in recent times. Most proposals are network based detection methods which have lots of drawbacks, where botnet traffics and attacks have negligible network visible effects [1], and any minor modification on botnet traffic such as command and control (C&C) encryption allows botnet to evade detection. This thesis introduces host-based botnet mitigation technique. Our approach is statistical anomaly based detection using machine learning classification technique. The mitigation methodology is by blocking bot process from sending/receiving network traffic to/from its botmaster. Our experiments are based on observing C&C traffic in local machine. Special tool used to monitor C&C communications. We named it, Packet Capturing Tool (PCTool). Collected data from PCTool are further processed to find statistical features of botnet C&C traffic. Then, Support Vector Machine (SVM) training using those features to classify malicious and benign process. We had 94.11% success detection with false positive rate 0.14 %.



Item Type:Thesis (Masters)
Subjects:Computer
Engineering
Research > Information Technology
Divisions:College Of Computer Sciences and Engineering > Computer Engineering Dept
Committee Advisor:Imam, Muhammad
Committee Members:Abuamara, Marwan and Osais, Yahya
ID Code:140267
Deposited By:AL-AMERI AHMED MANSOOR (g201102190)
Deposited On:11 Apr 2017 11:38
Last Modified:02 Nov 2017 10:14

Repository Staff Only: item control page