Host-Based Botnet Mitigation Methodology

Host-Based Botnet Mitigation Methodology. Masters thesis, King Fahd University of Petroleum and Minerals.

[img]
Preview
PDF
Final_Thesis-25-1-2017.pdf - Submitted Version

Download (2MB) | Preview

Arabic Abstract

Botnet هي مجموعة من البرمجيات الخبيثة و التي تشكل شبكة عبر الانترنت ، حيث تتم معظم عمليات الاحتيال والأنشطة/الهجمات على شبكة الانترنت من خلالها. تحديد/كشف هذه البرمجيات الخبيثة هو مجال بحوث نشط في الآونة الأخيرة. معظم المقترحات/الحلول المقدمة قائمة على طرق كشف Botnet في الشبكات المحلية والتي لها الكثير من السلبيات. بحيث أن حركة تراسل Botnet على الشبكات مقارنة بالتطبيقات الأخرى تصعب ملاحظتها و تكاد لا تذكر، وأن أية تعديلات طفيفة على حركة تراسل Botnet مثل تشفير أوامر القيادة والسيطرة (C & C) يسمح لل Botnet التهرب من الكشف. هذه الأطروحة تقدم تقنية للكشف عن Botnet في الأجهزة المحلية. نهجنا هو الكشف على الشذوذ الإحصائي باستخدام تقنية التعلم الذاتي للآلة للقدرة على تصنيف الشذوذ من عدمة. منهجية التخفيف هي من خلال منع Botnet من إرسال / استقبال بيانات عن طريق الشبكة من / إلى Botmaster. تستند تجاربنا على مراقبة حركة ال C & C في الاجهزة المحلية. أداة خاصة تستخدم لمراقبة حركة تراسل/ إستقبال أوامر السيطرة و التحكم (C&C) أسميناها (PCTool). تتم معالجة البيانات التي تم جمعها من PCTool للعثور على المزيد من الميزات الإحصائية لحركة تراسل/إستقبال أوامر السيطرة و التحكم لل Botnet. ومن ثم يتم تدريب SVM باستخدام تلك الميزات لتصنيف البرمجيات الخبيثة عن الحميدة. كان لدينا معدل 94.11٪ نجاح و معدل إيجابية كاذبة يصل إلى 0.14٪.

English Abstract

Botnets are state-of-the-art malware where most frauds and attacks activities on internet are carried out. Bot detection is an active research area in recent times. Most proposals are network based detection methods which have lots of drawbacks, where botnet traffics and attacks have negligible network visible effects [1], and any minor modification on botnet traffic such as command and control (C&C) encryption allows botnet to evade detection. This thesis introduces host-based botnet mitigation technique. Our approach is statistical anomaly based detection using machine learning classification technique. The mitigation methodology is by blocking bot process from sending/receiving network traffic to/from its botmaster. Our experiments are based on observing C&C traffic in local machine. Special tool used to monitor C&C communications. We named it, Packet Capturing Tool (PCTool). Collected data from PCTool are further processed to find statistical features of botnet C&C traffic. Then, Support Vector Machine (SVM) training using those features to classify malicious and benign process. We had 94.11% success detection with false positive rate 0.14 %.

Item Type: Thesis (Masters)
Subjects: Computer
Engineering
Research > Information Technology
Department: College of Computing and Mathematics > Computer Engineering
Committee Advisor: Imam, Muhammad
Committee Members: Abuamara, Marwan and Osais, Yahya
Depositing User: AL-AMERI A MANSOOR (g201102190)
Date Deposited: 11 Apr 2017 08:38
Last Modified: 31 Dec 2020 08:43
URI: http://eprints.kfupm.edu.sa/id/eprint/140267