v. solouk
-
بات نتها یکی از محبوبترین انواع بدافزارها در میان مجرمان اینترنتی هستند، به طوریکه اخیرا پایه ی اصلی بیشتر جرایم سایبری بوده اند. اغلب روش های تشخیص بات نت موجود نمی توانند آنها را به صورت بلادرنگ و قبل از مشارکت در یک حمله سایبری، تشخیص دهند. در این مقاله یک سیستم تشخیص بات نت مبتنی بر مدل مخفی مارکوف ارایه می شود. این سیستم قادر به تشخیص بات نت در بازه های زمانی خیلی کوچک از جریان شبکه بدون نیاز به بررسی کل جریان است. همچنین این روش علاوه بر تشخیص بات نت در مراحل اولیه از چرخه حیات، مرحله فعالیت آن (کانال فرمان و کنترل یا حمله) را نیز در هر لحظه تعیین می کند. بات نت BlackEnergy یکی از خطرناک ترین انواع بات نتهای مبتنی بر HTTP است، که در این پژوهش ترافیک شبکه آن مورد تحلیل و بررسی قرار می گیرد. ویژگی های شاخص و الگوهای رفتاری این بات نت در مراحل مختلف چرخه حیاتش استخراج می شود. سپس مدل مخفی مارکوف پیشنهادی جهت تشخیص بات نت BlackEnergy براساس ویژگی ها و الگوهای رفتاری آن ارایه می شود. برای ارزیابی مدل ارایه شده، از مجموعه داده جامع و معتبری از ترافیک شبکه استفاده می شود که نشان می دهد روش پیشنهادی حتی در پنجره های زمانی خیلی کوچک، دقت تشخیص بالایی نسبت به بسیاری از روش های دیگر دارد.
کلید واژگان: تشخیص بات نت، مدل مخفی مارکوف، وقفه زمانی، جریان شبکه، مرحله فرمان و کنترلBotnets are known to be among the most popular malwares in cyber criminals for their practicality in carrying many cyber-crimes as reported in the recent news. While many detection schemes have been developed, botnets remain the most powerful attack platform by constantly and continuously adopting new techniques and strategies. Thus, early identification and timely detection of botnets can take an effective step towards making perfect defense system. Most of existing botnet detection methods cannot detect botnets in real-time and in an early stage of their lifecycle before participating in a cyber-crime. In this work, we propose a novel approach to detect the BlackEnergy botnet traffic using Hidden Markov Model (HMM) within flow Intervals. In BlackEnergy, bots are controlled by attackers under a HTTP base command and control (C&C) infrastructure. First we analysis BlackEnergy’s network traffic and extract its main features and network behavior patterns. Then we adapt the proposed HMM model with BlackEnergy botnet patterns and features. In addition to detecting the botnet communication traffic in both Attack and C&C stages, inferred HMM defines the stage of botnet lifecycle. Our proposed method detects botnet activity in small time intervals without having seen a complete network flow. Using existing datasets, we show experimentally that it is possible to identify the presence of botnets activity with high accuracy even in very small time windows.
Keywords: Botnet detection, Hidden markov model, time interval, flow interval, network flow, command, control stage -
هدف از تطبیق دامنه تصویری، یادگیری مدل های مقاوم برای داده های آزمایشی، با استفاده از انتقال دانش از داده های آموزشی است، درحالی که مجموعه های آموزشی و آزمایشی دارای توزیع های متفاوتی هستند. روش های موجود تلاش می کنند تا مسئله تغییر دامنه ها را با استفاده از تطبیق دامنه ها یا اعمال محدودیت های رتبه-پایین حل نمایند. در این مقاله، ما یک روش دو مرحله ای غیرنظارت شده با عنوان حداقل سازی خطای بازسازی تصاویر از طریق تطبیق توزیع و محدودیت رتبه-پایین پیشنهاد می دهیم که از هر دو روش تطبیق توزیع ها و محدودیت های رتبه-پایین برای فایق آمدن به اختلاف توزیع دامنه ها استفاده می کند. در مرحله اول، روش پیشنهادی ما داده های آموزشی و آزمایشی را به یک زیرفضای مشترک نگاشت می کند تا اختلاف توزیع حاشیه ای و شرطی دامنه ها حداقل شود. علاوه بر آن، EDA از خوشه بندی مستقل از دامنه برای تفکیک بین کلاس های مختلف بهره می برد. در مرحله دوم، برای حفظ ساختار داده در زیرفضای مشترک، EDA خطای بازسازی داده ها را با استفاده از محدودیت های رتبه-پایین و تنک حداقل می کند. به طورکلی، EDA مسئله اختلاف دامنه ها را با پیچیدگی زمانی درجه سه حل می کند. روش پیشنهاد شده بر روی تنوعی از پایگاه داده های شناخته شده بصری ارزیابی می شود و کارایی آن با دیگر روش های به روز تطبیق دامنه ها مقایسه می شود. میانگین دقت EDA بر روی 32 آزمایش 33/68% به دست آمده که نسبت به دیگر روش های به روز تطبیق دامنه، با بهبود 28/4% عملکرد بهتری دارد.
کلید واژگان: تطبیق دامنه تصویری، مسئله شیفت دامن، ه تطبیق توزیع، محدودیت رتبه-پایین، تطبیق دامنهVisual domain adaptation aims to learn robust models for the test data by knowledge transferring from a training data where the training and test sets are from different distributions. Existing approaches attempt to solve domain shift problem with either adaptation across domains or performing low-rank constraints. In this paper, we propose a two-phases unsupervised approach referred as image reconstruction Error minimization via Distribution Adaptation and low-rank constraint (EDA), which benefits from both the distribution adaptation and the low-rank constraints to tackle distribution mismatch across domains. In the first phase, our proposed approach projects the training and test data onto a common subspace in which the marginal and conditional distribution differences of domains are minimized. Moreover, EDA benefits from domain invariant clustering to discriminate between various classes of data. In the second phase, for preserving data structure in the shared subspace, EDA minimizes the data reconstruction error using low-rank and sparse constraints. Overall, EDA solves the domain mismatch problem in cubic time complexity. The proposed approach is evaluated on variety of visual benchmark datasets and its performance is compared with the other state-of-the-art domain adaptation methods. The average accuracy of EDA on 32 experiments is determined 68.33% where outperforms other state-of-the-art domain adaptation methods with 4.28% improvement.
Keywords: Visual domain adaptation, Domain shift problem, Distribution adaptation, Low-rank constraint, domain adaptation
- در این صفحه نام مورد نظر در اسامی نویسندگان مقالات جستجو میشود. ممکن است نتایج شامل مطالب نویسندگان هم نام و حتی در رشتههای مختلف باشد.
- همه مقالات ترجمه فارسی یا انگلیسی ندارند پس ممکن است مقالاتی باشند که نام نویسنده مورد نظر شما به صورت معادل فارسی یا انگلیسی آن درج شده باشد. در صفحه جستجوی پیشرفته میتوانید همزمان نام فارسی و انگلیسی نویسنده را درج نمایید.
- در صورتی که میخواهید جستجو را با شرایط متفاوت تکرار کنید به صفحه جستجوی پیشرفته مطالب نشریات مراجعه کنید.