Wan Nur Hidayah Ibrahim, M. S. Anuar, A. Selamat, O. Krejcar
{"title":"BOTNET DETECTION USING INDEPENDENT COMPONENT ANALYSIS","authors":"Wan Nur Hidayah Ibrahim, M. S. Anuar, A. Selamat, O. Krejcar","doi":"10.31436/iiumej.v23i1.1789","DOIUrl":null,"url":null,"abstract":"Botnet is a significant cyber threat that continues to evolve. Botmasters continue to improve the security framework strategy for botnets to go undetected. Newer botnet source code runs attack detection every second, and each attack demonstrates the difficulty and robustness of monitoring the botnet. In the conventional network botnet detection model that uses signature-analysis, the patterns of a botnet concealment strategy such as encryption & polymorphic and the shift in structure from centralized to decentralized peer-to-peer structure, generate challenges. Behavior analysis seems to be a promising approach for solving these problems because it does not rely on analyzing the network traffic payload. Other than that, to predict novel types of botnet, a detection model should be developed. This study focuses on using flow-based behavior analysis to detect novel botnets, necessary due to the difficulties of detecting existing patterns in a botnet that continues to modify the signature in concealment strategy. This study also recommends introducing Independent Component Analysis (ICA) and data pre-processing standardization to increase data quality before classification. With and without ICA implementation, we compared the percentage of significant features. Through the experiment, we found that the results produced from ICA show significant improvements. The highest F-score was 83% for Neris bot. The average F-score for a novel botnet sample was 74%. Through the feature importance test, the feature importance increased from 22% to 27%, and the training model false positive rate also decreased from 1.8% to 1.7%.\nABSTRAK: Botnet merupakan ancaman siber yang sentiasa berevolusi. Pemilik bot sentiasa memperbaharui strategi keselamatan bagi botnet agar tidak dapat dikesan. Setiap saat, kod-kod sumber baru botnet telah dikesan dan setiap serangan dilihat menunjukkan tahap kesukaran dan ketahanan dalam mengesan bot. Model pengesanan rangkaian botnet konvensional telah menggunakan analisis berdasarkan tanda pengenalan bagi mengatasi halangan besar dalam mengesan corak botnet tersembunyi seperti teknik penyulitan dan teknik polimorfik. Masalah ini lebih bertumpu pada perubahan struktur berpusat kepada struktur bukan berpusat seperti rangkaian rakan ke rakan (P2P). Analisis tingkah laku ini seperti sesuai bagi menyelesaikan masalah-masalah tersebut kerana ianya tidak bergantung kepada analisis rangkaian beban muatan trafik. Selain itu, bagi menjangka botnet baru, model pengesanan harus dibangunkan. Kajian ini bertumpu kepada penggunaan analisa tingkah-laku berdasarkan aliran bagi mengesan botnet baru yang sukar dikesan pada corak pengenalan botnet sedia-ada yang sentiasa berubah dan menggunakan strategi tersembunyi. Kajian ini juga mencadangkan penggunakan Analisis Komponen Bebas (ICA) dan pra-pemprosesan data yang standard bagi meningkatkan kualiti data sebelum pengelasan. Peratusan ciri-ciri penting telah dibandingkan dengan dan tanpa menggunakan ICA. Dapatan kajian melalui eksperimen menunjukkan dengan penggunaan ICA, keputusan adalah jauh lebih baik. Skor F tertinggi ialah 83% bagi bot Neris. Purata skor F bagi sampel botnet baru adalah 74%. Melalui ujian kepentingan ciri, kepentingan ciri meningkat dari 22% kepada 27%, dan kadar positif model latihan palsu juga berkurangan dari 1.8% kepada 1.7%.","PeriodicalId":13439,"journal":{"name":"IIUM Engineering Journal","volume":"74 1","pages":""},"PeriodicalIF":0.6000,"publicationDate":"2022-01-04","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":"1","resultStr":null,"platform":"Semanticscholar","paperid":null,"PeriodicalName":"IIUM Engineering Journal","FirstCategoryId":"1085","ListUrlMain":"https://doi.org/10.31436/iiumej.v23i1.1789","RegionNum":0,"RegionCategory":null,"ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":null,"EPubDate":"","PubModel":"","JCR":"Q3","JCRName":"ENGINEERING, MULTIDISCIPLINARY","Score":null,"Total":0}
引用次数: 1
Abstract
Botnet is a significant cyber threat that continues to evolve. Botmasters continue to improve the security framework strategy for botnets to go undetected. Newer botnet source code runs attack detection every second, and each attack demonstrates the difficulty and robustness of monitoring the botnet. In the conventional network botnet detection model that uses signature-analysis, the patterns of a botnet concealment strategy such as encryption & polymorphic and the shift in structure from centralized to decentralized peer-to-peer structure, generate challenges. Behavior analysis seems to be a promising approach for solving these problems because it does not rely on analyzing the network traffic payload. Other than that, to predict novel types of botnet, a detection model should be developed. This study focuses on using flow-based behavior analysis to detect novel botnets, necessary due to the difficulties of detecting existing patterns in a botnet that continues to modify the signature in concealment strategy. This study also recommends introducing Independent Component Analysis (ICA) and data pre-processing standardization to increase data quality before classification. With and without ICA implementation, we compared the percentage of significant features. Through the experiment, we found that the results produced from ICA show significant improvements. The highest F-score was 83% for Neris bot. The average F-score for a novel botnet sample was 74%. Through the feature importance test, the feature importance increased from 22% to 27%, and the training model false positive rate also decreased from 1.8% to 1.7%.
ABSTRAK: Botnet merupakan ancaman siber yang sentiasa berevolusi. Pemilik bot sentiasa memperbaharui strategi keselamatan bagi botnet agar tidak dapat dikesan. Setiap saat, kod-kod sumber baru botnet telah dikesan dan setiap serangan dilihat menunjukkan tahap kesukaran dan ketahanan dalam mengesan bot. Model pengesanan rangkaian botnet konvensional telah menggunakan analisis berdasarkan tanda pengenalan bagi mengatasi halangan besar dalam mengesan corak botnet tersembunyi seperti teknik penyulitan dan teknik polimorfik. Masalah ini lebih bertumpu pada perubahan struktur berpusat kepada struktur bukan berpusat seperti rangkaian rakan ke rakan (P2P). Analisis tingkah laku ini seperti sesuai bagi menyelesaikan masalah-masalah tersebut kerana ianya tidak bergantung kepada analisis rangkaian beban muatan trafik. Selain itu, bagi menjangka botnet baru, model pengesanan harus dibangunkan. Kajian ini bertumpu kepada penggunaan analisa tingkah-laku berdasarkan aliran bagi mengesan botnet baru yang sukar dikesan pada corak pengenalan botnet sedia-ada yang sentiasa berubah dan menggunakan strategi tersembunyi. Kajian ini juga mencadangkan penggunakan Analisis Komponen Bebas (ICA) dan pra-pemprosesan data yang standard bagi meningkatkan kualiti data sebelum pengelasan. Peratusan ciri-ciri penting telah dibandingkan dengan dan tanpa menggunakan ICA. Dapatan kajian melalui eksperimen menunjukkan dengan penggunaan ICA, keputusan adalah jauh lebih baik. Skor F tertinggi ialah 83% bagi bot Neris. Purata skor F bagi sampel botnet baru adalah 74%. Melalui ujian kepentingan ciri, kepentingan ciri meningkat dari 22% kepada 27%, dan kadar positif model latihan palsu juga berkurangan dari 1.8% kepada 1.7%.
僵尸网络是一种持续发展的重大网络威胁。僵尸管理员继续改进安全框架策略,使僵尸网络不被发现。更新的僵尸网络源代码每秒运行攻击检测,每次攻击都证明了监控僵尸网络的难度和鲁棒性。在传统的基于特征分析的网络僵尸网络检测模型中,僵尸网络隐藏策略(如加密和多态)的模式以及从集中式到分散式的点对点结构的转变带来了挑战。行为分析似乎是解决这些问题的一种很有前途的方法,因为它不依赖于分析网络流量负载。除此之外,为了预测新型僵尸网络,还需要开发一种检测模型。本研究的重点是使用基于流的行为分析来检测新的僵尸网络,这是必要的,因为很难检测到僵尸网络中继续修改隐藏策略中的签名的现有模式。本研究建议在分类前引入独立成分分析(ICA)和数据预处理标准化,以提高数据质量。使用和不使用ICA实现时,我们比较了重要特性的百分比。通过实验,我们发现ICA产生的结果有明显的改善。Neris bot的f分最高为83%。新型僵尸网络样本的平均f值为74%。通过特征重要性测试,特征重要性从22%提高到27%,训练模型的假阳性率也从1.8%下降到1.7%。摘要:僵尸网络攻击是一种有效的攻击手段。Pemilik bot sentiasa member, barharui strategy, keselamatan bagi僵尸网络agar tidak dapat dikesan。Setiap saat, kod-kod number baru僵尸网络telah dikesan, Setiap serangan和dilihat menunjukkan tahap kesukaran和ketahanan dalam mengesan bot。僵尸网络的模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型、模型。Masalah ini lebih bertumpu pada perubahan strucktur berpusat kepada strucktur bukan berpusat seperti rangkaian rakan ke rakan (P2P)。分析:分析:分析:分析:分析:分析:分析:分析:分析:分析:分析:分析:分析:分析:分析:分析:分析:分析:分析:分析:分析:分析:Selain itu, bagi menjangka僵尸网络baru,模型pengesanan harus dibangunkan。僵尸网络baru yang sukar dikesan pada corcorak pengenalan僵尸网络sediada yang sentias berubah dan menggunakan strategy tersembunyi。用ICA (Komponen Bebas, ICA)分析了pengunakan的数据,用标准的bagi meningkatkan kualiti数据对pengunakan进行了分析。Peratusan ciri-ciri penting telah dibandingkan dengan dan tanpa menggunakan ICA。大巴坦、加健、加健、加健、加健、加健、加健、加健、加健、加健、加健。Skor F . tertingi在Neris的支持率为83%。Purata skor F bagi样本僵尸网络baru adalah 74%。Melalui ujian kepentingan ciri, kepentingan ciri meningkat dari 22% kepada 27%, dan kadar positive model latihan palsu juga berkurangan dari 1.8% kepada 1.7%。
期刊介绍:
The IIUM Engineering Journal, published biannually (June and December), is a peer-reviewed open-access journal of the Faculty of Engineering, International Islamic University Malaysia (IIUM). The IIUM Engineering Journal publishes original research findings as regular papers, review papers (by invitation). The Journal provides a platform for Engineers, Researchers, Academicians, and Practitioners who are highly motivated in contributing to the Engineering disciplines, and Applied Sciences. It also welcomes contributions that address solutions to the specific challenges of the developing world, and address science and technology issues from an Islamic and multidisciplinary perspective. Subject areas suitable for publication are as follows: -Chemical and Biotechnology Engineering -Civil and Environmental Engineering -Computer Science and Information Technology -Electrical, Computer, and Communications Engineering -Engineering Mathematics and Applied Science -Materials and Manufacturing Engineering -Mechanical and Aerospace Engineering -Mechatronics and Automation Engineering
京公网安备 11010802042870号
京ICP备2023020795号-1
分享
求助内容:
应助结果提醒方式:
扫码关注我们
