- ข้อความ
- ประวัติศาสตร์
2.2 Related workMost prior work has
2.2 Related work
Most prior work has either focused on P2P traffic classifi- cation from the perspective of a more general problem of Internet traffic classification [17-19], or has given special attention to detection of botnets (centralized or dis- tributed) in Internet traffic [20-22]. The challenging con- text of detection of stealthy P2P botnets in the presence of benign P2P traffic has not received much attention.
Initial work on detection of P2P botnets involved signature-based and port-based approaches [23]. Solu- tions such as BotMiner [20] rely on DPI which can easily defeated by bots using encryption. Some of the recent work has used supervised [24,25] and unsupervised [26,27] machine learning approaches and other statistical measures [28]. PeerRush [24] created ‘application pro- file’ from the network traces of multiple P2P applications. Their work utilized payload sizes and inter-packet delays to categorize the exact P2P application running on a host. The approach of Zhang et al. [26,27] used ‘control flows’ of P2P applications to extract statistical fingerprints. P2P bots were identified based on certain features like finger- print similarity, number of overlapping contacts, persis- tent communication, etc. However, their work can detect P2P bots inside a network only when there are multi- ple infected nodes belonging to the same botnet. Yen and Reiter [28] attempt to segregate P2P bots from benign P2P apps based on metrics like the volume of data exchanged and number of peers contacted. Unfortunately, their fea- tures are not sufficient to correctly differentiate P2P bots and apps. Furthermore, their approach fails to detect bots when bots and apps run on the same machine.
Most of the past works have employed the classical 5- tuple categorization of network flows. Packets were clas- sified as ‘flows’ based on the 5-tuple of source IP, source port, destination IP, destination port, and transport layer protocol. Flows have bidirectional behavior, and the direc- tion of the flow is decided based on the direction in which the first packet is seen. This traditional definition of flows has been greatly employed and has seen huge success in the problems of Internet traffic classification [29] and even in the early days of P2P traffic classification [30]. This definition relies on port number and transport layer pro- tocol. The latest P2P applications as well advanced P2P bots are known to randomize their communication port(s) and operate over TCP as well as UDP. Such applications will not be well-identified by these traditional approaches. Since such a behavior is characteristic of only the latest variants of P2P applications (benign or malicious), it is obvious that past research did not touch upon this aspect.
‘In response to this, a recent work [22] has used the 2- tuple ‘super-flows’ based approach with a graph-clustering technique to detect P2P botnet traffic. Although authors in [22] presented interesting insight and obtained good accuracy in detecting the traffic of two P2P botnets, their approach has certain limitations. Their work evaluates the detection of P2P botnets only with regular web traffic (which was not analyzed for the presence or absence of regular P2P traffic). This is a serious limitation because P2P botnet traffic (quite obviously) exhibits many simi- larities to benign P2P traffic. Furthermore, graph-based approaches work on a ‘snapshot’ of the network. P2P net- works have high ‘churn-rate’ (joining and leaving of peers). Since the network is changing fast, any solution suggested for a ‘snapshot’ of the network would quickly become obsolete. Thus, their approach would fail in the presence of benign P2P traffic. Distinguishing between hosts using regular P2P applications and hosts infected by a P2P bot- net would be of great relevance to network administrators protecting their network.
Another recent work [31] has seen the use of
‘conversation-based’ approach in the P2P domain, but for a different problem, namely, the detection of over- lapping P2P communities in Internet backbone. Their work does not focus on identification of any specific P2P application—whether malicious or benign.
A preliminary version of our work [32] adopted conversation-based approach for the detection of P2P bot- nets. In [32], we looked for high-duration and low-volume conversations in order to separate P2P bots from apps and used their timing patterns as a distinguishing feature for categorization of different P2P apps and bots. None of the past works employing super-flow or conversation-based approaches ([22,31,32]) address an inherent drawback of these approaches: they fail to detect botnet activity if P2P bots and apps are running on the same machine (which might be a rare scenario, but cannot be ruled out nonetheless). This is because conversations (or super- flows) try to give a bird’s eye view of the communications happening in the network and thus miss certain finer details.
Most prior work has either focused on P2P traffic classifi- cation from the perspective of a more general problem of Internet traffic classification [17-19], or has given special attention to detection of botnets (centralized or dis- tributed) in Internet traffic [20-22]. The challenging con- text of detection of stealthy P2P botnets in the presence of benign P2P traffic has not received much attention.
Initial work on detection of P2P botnets involved signature-based and port-based approaches [23]. Solu- tions such as BotMiner [20] rely on DPI which can easily defeated by bots using encryption. Some of the recent work has used supervised [24,25] and unsupervised [26,27] machine learning approaches and other statistical measures [28]. PeerRush [24] created ‘application pro- file’ from the network traces of multiple P2P applications. Their work utilized payload sizes and inter-packet delays to categorize the exact P2P application running on a host. The approach of Zhang et al. [26,27] used ‘control flows’ of P2P applications to extract statistical fingerprints. P2P bots were identified based on certain features like finger- print similarity, number of overlapping contacts, persis- tent communication, etc. However, their work can detect P2P bots inside a network only when there are multi- ple infected nodes belonging to the same botnet. Yen and Reiter [28] attempt to segregate P2P bots from benign P2P apps based on metrics like the volume of data exchanged and number of peers contacted. Unfortunately, their fea- tures are not sufficient to correctly differentiate P2P bots and apps. Furthermore, their approach fails to detect bots when bots and apps run on the same machine.
Most of the past works have employed the classical 5- tuple categorization of network flows. Packets were clas- sified as ‘flows’ based on the 5-tuple of source IP, source port, destination IP, destination port, and transport layer protocol. Flows have bidirectional behavior, and the direc- tion of the flow is decided based on the direction in which the first packet is seen. This traditional definition of flows has been greatly employed and has seen huge success in the problems of Internet traffic classification [29] and even in the early days of P2P traffic classification [30]. This definition relies on port number and transport layer pro- tocol. The latest P2P applications as well advanced P2P bots are known to randomize their communication port(s) and operate over TCP as well as UDP. Such applications will not be well-identified by these traditional approaches. Since such a behavior is characteristic of only the latest variants of P2P applications (benign or malicious), it is obvious that past research did not touch upon this aspect.
‘In response to this, a recent work [22] has used the 2- tuple ‘super-flows’ based approach with a graph-clustering technique to detect P2P botnet traffic. Although authors in [22] presented interesting insight and obtained good accuracy in detecting the traffic of two P2P botnets, their approach has certain limitations. Their work evaluates the detection of P2P botnets only with regular web traffic (which was not analyzed for the presence or absence of regular P2P traffic). This is a serious limitation because P2P botnet traffic (quite obviously) exhibits many simi- larities to benign P2P traffic. Furthermore, graph-based approaches work on a ‘snapshot’ of the network. P2P net- works have high ‘churn-rate’ (joining and leaving of peers). Since the network is changing fast, any solution suggested for a ‘snapshot’ of the network would quickly become obsolete. Thus, their approach would fail in the presence of benign P2P traffic. Distinguishing between hosts using regular P2P applications and hosts infected by a P2P bot- net would be of great relevance to network administrators protecting their network.
Another recent work [31] has seen the use of
‘conversation-based’ approach in the P2P domain, but for a different problem, namely, the detection of over- lapping P2P communities in Internet backbone. Their work does not focus on identification of any specific P2P application—whether malicious or benign.
A preliminary version of our work [32] adopted conversation-based approach for the detection of P2P bot- nets. In [32], we looked for high-duration and low-volume conversations in order to separate P2P bots from apps and used their timing patterns as a distinguishing feature for categorization of different P2P apps and bots. None of the past works employing super-flow or conversation-based approaches ([22,31,32]) address an inherent drawback of these approaches: they fail to detect botnet activity if P2P bots and apps are running on the same machine (which might be a rare scenario, but cannot be ruled out nonetheless). This is because conversations (or super- flows) try to give a bird’s eye view of the communications happening in the network and thus miss certain finer details.
0/5000
2.2 งานที่เกี่ยวข้องก่อนหน้านี้งานส่วนใหญ่ได้เน้น P2P จราจร classifi-cation จากมุมมองของปัญหาทั่วไปของการจัดประเภทการจราจรอินเทอร์เน็ต [17-19], หรือได้รับความสนใจพิเศษของ botnets (ส่วนกลาง หรือโรค tributed) ในอินเทอร์เน็ต [20-22] แอร์ข้อท้าทายของตรวจ botnets P2P ลับ ๆ ล่อ ๆ ในต่อหน้าของจราจร P2P อ่อนโยนได้รับความสนใจมากเริ่มต้นงานการตรวจหาของ P2P botnets เกี่ยวข้องกับแนวทาง ตามท่าเรือ และลายเซ็นตาม [23] Solu-tions เช่น BotMiner [20] พึ่ง DPI ที่สามารถพ่ายแพ้อย่างง่ายดาย โดยใช้การเข้ารหัสบอ บางงานล่าสุดได้ใช้มี [24,25] และวิธีการเรียนรู้ของเครื่อง [26,27] unsupervised และมาตรการทางสถิติอื่น ๆ [28] PeerRush [24] สร้าง 'แฟ้มโปรแกรมประยุกต์ pro-' สืบเครือข่ายของการใช้งาน P2P หลาย งานใช้ประโยชน์ส่วนของข้อมูลขนาดและแพ็คเก็ตระหว่างความล่าช้าในการจัดประเภทการทำงานบนโฮสต์โปรแกรมประยุกต์ P2P แน่นอน วิธีของ Zhang et al. [26,27] ใช้ 'ควบคุมกระแส' ของโปรแกรม P2P ในการดึงลายนิ้วมือทางสถิติ บอ P2P ได้ระบุขึ้นอยู่กับคุณลักษณะบางอย่างเช่นพิมพ์ลายนิ้วมือคล้าย หมายเลขของผู้ติดต่อที่ทับซ้อนกัน การสื่อสาร persis-เต็นท์ ฯลฯ อย่างไรก็ตาม งานสามารถตรวจบอ P2P อยู่ในเครือข่ายเมื่อมีโหนติดเปิ้ลหลายของ botnet เดียวเท่านั้น เย็น และ Reiter [28] พยายาม segregate บอ P2P จาก apps P2P อ่อนโยนตามวัดเช่นปริมาณของข้อมูลที่แลกเปลี่ยนและจำนวนเพื่อนที่ติดต่อ อับ tures fea ของพวกเขาไม่เพียงพอที่จะถูกแยกแยะบอ P2P และปพลิเคชัน นอกจากนี้ วิธีการของพวกเขาล้มเหลวตรวจบอเมื่อบอและปพลิเคชันที่รันบนเครื่องเดียวกันส่วนใหญ่ทำงานที่ผ่านมามีลูกจ้างประเภทคลาสสิก 5-ทูเพิลของทุนหมุนเวียนเครือข่าย แพคเก็ตถูก clas sified เป็น 'ไหล' ไปตาม 5-ทูเพิล IP แหล่งที่มา พอร์ตต้นทาง IP ปลายทาง ท่าเรือปลายทาง และขนส่งเลเยอร์โพรโทคอล ขั้นตอนมีลักษณะการทำงานแบบสองทิศทาง และตัดสิน direc-สเตรชันของการไหลตามทิศทางที่เห็นแพ็คเก็ตแรก คำนิยามนี้ดั้งเดิมของขั้นตอนได้ทำงานได้อย่างมาก และได้เห็นความสำเร็จอย่างมาก ในปัญหาของการจัดประเภทการจราจรอินเทอร์เน็ต [29] และแม้ ในยุคแรกของการจัดประเภทการจราจร P2P [30] คำนิยามนี้อาศัยพอร์ตหมายเลขและการขนส่งเลเยอร์ pro-tocol โปรแกรมประยุกต์ P2P ล่าสุดทราบว่าบอ P2P ขั้นสูงเช่นสุ่มการสื่อสารของพอร์ตการ กงานผ่าน TCP กับ UDP โปรแกรมประยุกต์ดังกล่าวจะไม่สามารถระบุห้องพัก โดยวิธีดั้งเดิมเหล่านี้ เนื่องจากพฤติกรรมดังกล่าวเป็นลักษณะเฉพาะตัวแปรล่าสุดของโปรแกรม P2P (อ่อนโยน หรือเป็นอันตราย), ได้ชัดเจนว่า งานวิจัยไม่ได้ได้สัมผัสตามลักษณะนี้' ตอบนี้ ผลงานล่าสุด [22] ได้ใช้วิธี 'ซุปเปอร์ไหล' ตามทูเพิล 2 คลัสเตอร์กราฟเทคนิคสืบจราจร botnet P2P แม้ว่าผู้เขียนใน [22] แสดงความเข้าใจน่าสนใจ และได้รับความถูกต้องที่ดีในการตรวจสอบการจราจรสอง P2P botnets วิธีการมีข้อจำกัดบางอย่าง งานประเมินตรวจ botnets P2P ด้วยจราจรเว็บปกติ (ที่ไม่ได้วิเคราะห์สำหรับสถานะการขาดงานจราจร P2P ทั่วไป) นี้เป็นข้อจำกัดอย่างรุนแรง เพราะ P2P botnet จราจรจัดแสดง simi larities มากการจราจร P2P อ่อนโยน (ชัดมาก) นอกจากนี้ วิธีใช้กราฟทำงานบน 'ภาพรวม' ของเครือข่าย P2P สุทธิทำงานมีสูง 'ผลาญอัตรา' (เข้า และออกของเพื่อน) เนื่องจากเครือข่ายมีการเปลี่ยนแปลงอย่างรวดเร็ว วิธีแนะนำสำหรับ 'ภาพรวม' ของเครือข่ายจะรวดเร็วเป็นล้าสมัย ดังนั้น วิธีการของพวกเขาจะล้มเหลวในต่อหน้าของจราจร P2P อ่อนโยน แยกความแตกต่างระหว่างโฮสต์ใช้ P2P ทั่วไปใช้งานและโฮสต์ที่ติดเชื้อ P2P ธปท.สุทธิจะความดีเกี่ยวข้องกับผู้ดูแลระบบเครือข่ายปกป้องเครือข่ายของพวกเขางานล่าสุดอื่น [31] ได้เห็นการใช้'การสนทนา ' ปฏิบัติตาม ในโดเมน P2P แต่ สำหรับ ปัญหาต่าง ๆ ได้แก่ การตรวจพบเกินซัด P2P ชุมชนแกนหลักของอินเทอร์เน็ต งานไม่เน้นที่รหัสของโปรแกรม P2P เฉพาะ — ไม่ว่าจะเป็นอันตราย หรืออ่อนโยนรุ่นเบื้องต้นของการทำงานของเรา [32] นำสนทนาโดยใช้วิธีตรวจของ P2P ธปท.มุ้ง ใน [32], เราดูระยะ เวลาสูง และต่ำระดับเสียงสนทนาเพื่อแยกบอ P2P จากปพลิเคชัน และใช้รูปแบบเวลาของพวกเขาเป็นคุณลักษณะที่แตกต่างสำหรับการแบ่งประเภทของปพลิเคชันต่าง ๆ ของ P2P และบอ ผ่านมาไม่มีงานใช้กระแสซุปเปอร์ หรือสนทนาตามแนวทาง ([22,31,32]) อยู่เสียเปรียบโดยธรรมชาติของแนวทางเหล่านี้: พวกเขาล้มเหลวในการตรวจหากิจกรรมของ botnet ถ้าบอ P2P และปพลิเคชันกำลังทำงานอยู่บนเครื่องเดียวกัน (ซึ่งอาจเป็นสถานการณ์ที่ยาก แต่ไม่สามารถปกครองออกกระนั้น) ทั้งนี้เนื่องจากสนทนา (หรือซุปเปอร์ไหล) ลองให้แบบเบิร์ดอายวิวติดต่อสื่อสารในเครือข่ายที่เกิดขึ้นจึง คิดถึงรายละเอียดปลีกย่อย
การแปล กรุณารอสักครู่..
2.2 2.2 Related work
การทำงานที่เกี่ยวข้องทำงานก่อนส่วนใหญ่มีทั้งมุ่งเน้นไปที่การจราจรP2P ข้อความทำาความท้าทายของการตรวจสอบของบ็อตเน็ต Most prior work has either focused on P2P traffic classifi- cation from the perspective of a more general problem of Internet traffic classification [17-19], or has given special attention to detection of botnets (centralized or dis- tributed) in Internet traffic [20-22]. The challenging con- text of detection of stealthy P2P botnets in the presence of benign P2P traffic has not received much attention.
การทำงานเริ่มต้นในการตรวจสอบของบ็อตเน็ต Initial work on detection of P2P botnets involved signature- -based based and port- -วิธีการตาม Solu based approaches [23]. Solu- - tions บางส่วนของงานที่ผ่านมาได้นำมาใช้ภายใต้การดูแล PeerRush [24] tions such as BotMiner [20] rely on DPI which can easily defeated by bots using encryption. Some of the recent work has used supervised [24,25] and unsupervised [26,27] machine learning approaches and other statistical measures [28]. PeerRush [24] created ' - ไฟล์จากร่องรอยของการใช้งานเครือข่าย งานของพวกเขาใช้ขนาดบรรจุและอินเตอร์- ความล่าช้าแพ็คเก็ตที่จะจัดประเภทโปรแกรม วิธีการของ [26,27] ' ของโปรแกรม บอท - ความคล้ายคลึงกันพิมพ์จำนวนรายชื่อที่ทับซ้อนกัน - สื่อสารเต็นท์ ฯลฯ แต่งานของพวกเขาสามารถตรวจจับบอท - เปิ้ลโหนดที่ติดเชื้อที่เป็นเหมือนกัน บ็อตเน็ต เยนและไรเตอร์ แต่น่าเสียดายที่พวกเขาจดจ้อง- ตูเรสไม่เพียงพอที่จะแยกความแตกต่างได้อย่างถูกต้องบอท นอกจากนี้แนวทางของพวกเขาล้มเหลวในการตรวจสอบเมื่อบอทบอทและปพลิเคชันทำงานบนเครื่องเดียวกันส่วนใหญ่ของการทำงานที่ผ่านมามีการจ้างงาน - หมวดหมู่ แพ็คเก็ตเป็น - sified ' ขึ้นอยู่กับ - tuple กระแสมีพฤติกรรมแบบสองทิศทางและ - การของการไหลที่มีการตัดสินใจขึ้นอยู่กับทิศทางที่แพ็คเก็ตครั้งแรกที่เห็นก็คือ นี้ความหมายดั้งเดิมของกระแสได้รับการว่าจ้างอย่างมากและได้เห็นความสำเร็จอย่างมากในการจัดหมวดหมู่ของปัญหาจราจรทางอินเทอร์เน็ต คำนิยามนี้อาศัยอยู่กับหมายเลขพอร์ตและชั้นการขนส่งโปรโปรโตคอล ล่าสุดโปรแกรม โปรแกรมดังกล่าวจะไม่ได้ดีระบุวิธีการแบบดั้งเดิมเหล่านี้ ‘application pro- file’ from the network traces of multiple P2P applications. Their work utilized payload sizes and inter-packet delays to categorize the exact P2P application running on a host. The approach of Zhang et al. [26,27] used ‘control flows’ of P2P applications to extract statistical fingerprints. P2P bots were identified based on certain features like finger- print similarity, number of overlapping contacts, persis- tent communication, etc. However, their work can detect P2P bots inside a network only when there are multi- ple infected nodes belonging to the same botnet. Yen and Reiter [28] attempt to segregate P2P bots from benign P2P apps based on metrics like the volume of data exchanged and number of peers contacted. Unfortunately, their fea- tures are not sufficient to correctly differentiate P2P bots and apps. Furthermore, their approach fails to detect bots when bots and apps run on the same machine.
Most of the past works have employed the classical 5- tuple categorization of network flows. Packets were clas- sified as ‘flows’ based on the 5-tuple of source IP, source port, destination IP, destination port, and transport layer protocol. Flows have bidirectional behavior, and the direc- tion of the flow is decided based on the direction in which the first packet is seen. This traditional definition of flows has been greatly employed and has seen huge success in the problems of Internet traffic classification [29] and even in the early days of P2P traffic classification [30]. This definition relies on port number and transport layer pro- tocol. The latest P2P applications as well advanced P2P bots are known to randomize their communication port(s) and operate over TCP as well as UDP. Such applications will not be well-identified by these traditional approaches. Since such a behavior is characteristic of only the latest variants of P2P applications (benign or malicious), it is obvious that past research did not touch upon this aspect.
‘In response to this, a recent work [22] has used the 2- tuple ‘super-flows’ based approach with a graph-clustering technique to detect P2P botnet traffic. Although authors in [22] presented interesting insight and obtained good accuracy in detecting the traffic of two P2P botnets, their approach has certain limitations. Their work evaluates the detection of P2P botnets only with regular web traffic (which was not analyzed for the presence or absence of regular P2P traffic). This is a serious limitation because P2P botnet traffic (quite obviously) exhibits many simi- larities to benign P2P traffic. Furthermore, graph-based approaches work on a ‘snapshot’ of the network. P2P net- works have high ‘churn-rate’ (joining and leaving of peers). Since the network is changing fast, any solution suggested for a ‘snapshot’ of the network would quickly become obsolete. Thus, their approach would fail in the presence of benign P2P traffic. Distinguishing between hosts using regular P2P applications and hosts infected by a P2P bot- net would be of great relevance to network administrators protecting their network.
Another recent work [31] has seen the use of
‘conversation-based’ approach in the P2P domain, but for a different problem, namely, the detection of over- lapping P2P communities in Internet backbone. Their work does not focus on identification of any specific P2P application—whether malicious or benign.
A preliminary version of our work [32] adopted conversation-based approach for the detection of P2P bot- nets. In [32], we looked for high-duration and low-volume conversations in order to separate P2P bots from apps and used their timing patterns as a distinguishing feature for categorization of different P2P apps and bots. None of the past works employing super-flow or conversation-based approaches ([22,31,32]) address an inherent drawback of these approaches: they fail to detect botnet activity if P2P bots and apps are running on the same machine (which might be a rare scenario, but cannot be ruled out nonetheless). This is because conversations (or super- flows) try to give a bird’s eye view of the communications happening in the network and thus miss certain finer details.
การทำงานที่เกี่ยวข้องทำงานก่อนส่วนใหญ่มีทั้งมุ่งเน้นไปที่การจราจรP2P ข้อความทำาความท้าทายของการตรวจสอบของบ็อตเน็ต Most prior work has either focused on P2P traffic classifi- cation from the perspective of a more general problem of Internet traffic classification [17-19], or has given special attention to detection of botnets (centralized or dis- tributed) in Internet traffic [20-22]. The challenging con- text of detection of stealthy P2P botnets in the presence of benign P2P traffic has not received much attention.
การทำงานเริ่มต้นในการตรวจสอบของบ็อตเน็ต Initial work on detection of P2P botnets involved signature- -based based and port- -วิธีการตาม Solu based approaches [23]. Solu- - tions บางส่วนของงานที่ผ่านมาได้นำมาใช้ภายใต้การดูแล PeerRush [24] tions such as BotMiner [20] rely on DPI which can easily defeated by bots using encryption. Some of the recent work has used supervised [24,25] and unsupervised [26,27] machine learning approaches and other statistical measures [28]. PeerRush [24] created ' - ไฟล์จากร่องรอยของการใช้งานเครือข่าย งานของพวกเขาใช้ขนาดบรรจุและอินเตอร์- ความล่าช้าแพ็คเก็ตที่จะจัดประเภทโปรแกรม วิธีการของ [26,27] ' ของโปรแกรม บอท - ความคล้ายคลึงกันพิมพ์จำนวนรายชื่อที่ทับซ้อนกัน - สื่อสารเต็นท์ ฯลฯ แต่งานของพวกเขาสามารถตรวจจับบอท - เปิ้ลโหนดที่ติดเชื้อที่เป็นเหมือนกัน บ็อตเน็ต เยนและไรเตอร์ แต่น่าเสียดายที่พวกเขาจดจ้อง- ตูเรสไม่เพียงพอที่จะแยกความแตกต่างได้อย่างถูกต้องบอท นอกจากนี้แนวทางของพวกเขาล้มเหลวในการตรวจสอบเมื่อบอทบอทและปพลิเคชันทำงานบนเครื่องเดียวกันส่วนใหญ่ของการทำงานที่ผ่านมามีการจ้างงาน - หมวดหมู่ แพ็คเก็ตเป็น - sified ' ขึ้นอยู่กับ - tuple กระแสมีพฤติกรรมแบบสองทิศทางและ - การของการไหลที่มีการตัดสินใจขึ้นอยู่กับทิศทางที่แพ็คเก็ตครั้งแรกที่เห็นก็คือ นี้ความหมายดั้งเดิมของกระแสได้รับการว่าจ้างอย่างมากและได้เห็นความสำเร็จอย่างมากในการจัดหมวดหมู่ของปัญหาจราจรทางอินเทอร์เน็ต คำนิยามนี้อาศัยอยู่กับหมายเลขพอร์ตและชั้นการขนส่งโปรโปรโตคอล ล่าสุดโปรแกรม โปรแกรมดังกล่าวจะไม่ได้ดีระบุวิธีการแบบดั้งเดิมเหล่านี้ ‘application pro- file’ from the network traces of multiple P2P applications. Their work utilized payload sizes and inter-packet delays to categorize the exact P2P application running on a host. The approach of Zhang et al. [26,27] used ‘control flows’ of P2P applications to extract statistical fingerprints. P2P bots were identified based on certain features like finger- print similarity, number of overlapping contacts, persis- tent communication, etc. However, their work can detect P2P bots inside a network only when there are multi- ple infected nodes belonging to the same botnet. Yen and Reiter [28] attempt to segregate P2P bots from benign P2P apps based on metrics like the volume of data exchanged and number of peers contacted. Unfortunately, their fea- tures are not sufficient to correctly differentiate P2P bots and apps. Furthermore, their approach fails to detect bots when bots and apps run on the same machine.
Most of the past works have employed the classical 5- tuple categorization of network flows. Packets were clas- sified as ‘flows’ based on the 5-tuple of source IP, source port, destination IP, destination port, and transport layer protocol. Flows have bidirectional behavior, and the direc- tion of the flow is decided based on the direction in which the first packet is seen. This traditional definition of flows has been greatly employed and has seen huge success in the problems of Internet traffic classification [29] and even in the early days of P2P traffic classification [30]. This definition relies on port number and transport layer pro- tocol. The latest P2P applications as well advanced P2P bots are known to randomize their communication port(s) and operate over TCP as well as UDP. Such applications will not be well-identified by these traditional approaches. Since such a behavior is characteristic of only the latest variants of P2P applications (benign or malicious), it is obvious that past research did not touch upon this aspect.
‘In response to this, a recent work [22] has used the 2- tuple ‘super-flows’ based approach with a graph-clustering technique to detect P2P botnet traffic. Although authors in [22] presented interesting insight and obtained good accuracy in detecting the traffic of two P2P botnets, their approach has certain limitations. Their work evaluates the detection of P2P botnets only with regular web traffic (which was not analyzed for the presence or absence of regular P2P traffic). This is a serious limitation because P2P botnet traffic (quite obviously) exhibits many simi- larities to benign P2P traffic. Furthermore, graph-based approaches work on a ‘snapshot’ of the network. P2P net- works have high ‘churn-rate’ (joining and leaving of peers). Since the network is changing fast, any solution suggested for a ‘snapshot’ of the network would quickly become obsolete. Thus, their approach would fail in the presence of benign P2P traffic. Distinguishing between hosts using regular P2P applications and hosts infected by a P2P bot- net would be of great relevance to network administrators protecting their network.
Another recent work [31] has seen the use of
‘conversation-based’ approach in the P2P domain, but for a different problem, namely, the detection of over- lapping P2P communities in Internet backbone. Their work does not focus on identification of any specific P2P application—whether malicious or benign.
A preliminary version of our work [32] adopted conversation-based approach for the detection of P2P bot- nets. In [32], we looked for high-duration and low-volume conversations in order to separate P2P bots from apps and used their timing patterns as a distinguishing feature for categorization of different P2P apps and bots. None of the past works employing super-flow or conversation-based approaches ([22,31,32]) address an inherent drawback of these approaches: they fail to detect botnet activity if P2P bots and apps are running on the same machine (which might be a rare scenario, but cannot be ruled out nonetheless). This is because conversations (or super- flows) try to give a bird’s eye view of the communications happening in the network and thus miss certain finer details.
การแปล กรุณารอสักครู่..
2.2 งานที่เกี่ยวข้องทำงานได้
ก่อนส่วนใหญ่เน้น classifi - การจราจร P2P การจากมุมมองของปัญหาทั่วไปของการจำแนกการจราจรทางอินเทอร์เน็ต [ 19 ] หรือได้รับความสนใจเป็นพิเศษกับการตรวจสอบ botnets ( จากส่วนกลาง หรือจาก tributed ) ในเดือนกันยายน [ อินเทอร์เน็ต ]ความท้าทายของการต่อต้าน - ข้อความลับ ๆ ล่อ ๆเอง P2P ในการปรากฏตัวของการจราจร P2P อาจไม่ได้รับความสนใจมากนัก
เริ่มต้นการทำงานในการตรวจหา botnets P2P ที่เกี่ยวข้องตามลายเซ็นและพอร์ตตามแนว [ 23 ] ซูลู - ใช้งาน เช่น botminer [ 20 ] พึ่งจุดต่อนิ้วซึ่งสามารถแพ้บอทโดยใช้การเข้ารหัส บางส่วนของผลงานล่าสุดได้ใช้ดูแล [ 24[ 25 ] และ unsupervised 26,27 ] เครื่องเรียนรู้แนวทางและมาตรการทางสถิติอื่น ๆ [ 28 ] peerrush [ 24 ] สร้างโปรแกรมประยุกต์ของโปรไฟล์จากเครือข่ายร่องรอยของโปรแกรม P2P หลาย งานที่ใช้บรรทุกขนาด และ อินเตอร์ แพ็คเก็ตล่าช้าประเภท P2P โปรแกรมที่ทำงานบนโฮสต์ วิธีการของ Zhang et al . [ 2627 ] ' ' ที่ใช้ควบคุมการไหลของโปรแกรม P2P เพื่อแยกลายนิ้วมือเชิงสถิติ บอทได้ระบุตาม P2P บางคุณสมบัติเช่นพิมพ์นิ้วมือ - ความเหมือน , หมายเลขติดต่อที่ซ้อนทับกัน persis - สื่อสาร , เต็นท์ ฯลฯ อย่างไรก็ตาม งานของพวกเขาสามารถตรวจจับบอทภายในเครือข่าย P2P เมื่อมีหลายเปิ้ลติดโหนดของบ็อตเน็ตเดียวกันเยน ไรเตอร์ [ 28 ] พยายามที่จะแยกจากเนื้องอก P2P P2P บอทปพลิเคชันขึ้นอยู่กับตัวชี้วัดเช่นปริมาณของข้อมูลที่แลกเปลี่ยนและจำนวนเพื่อนติดต่อ ขออภัย ยาง - ตูเรสไม่เพียงพอที่จะได้อย่างถูกต้องความแตกต่างบอท P2P และปพลิเคชัน นอกจากนี้ วิธีการของพวกเขาล้มเหลวที่จะตรวจจับบอทเมื่อบอทและปพลิเคชันรันในเครื่องเดียวกัน .
ที่สุดของผลงานที่ผ่านมามีงานคลาสสิก 5 - tuple การไหลของเครือข่าย แพ็คเก็ตได้ 2 - sified เป็น ' ไหล ' ตาม 5-tuple แหล่ง IP , พอร์ตต้นทาง , IP , พอร์ตปลายทางปลายทาง และการขนส่งชั้นโปรโตคอล มีพฤติกรรมการไหลแบบสองทิศทาง และทิศทาง - tion ของไหลจะตัดสินใจบนพื้นฐานของทิศทางที่ packet แรกเห็นความหมายดั้งเดิมของการไหลได้ถูกมากที่ใช้และได้เห็นความสำเร็จมากในการจำแนกปัญหาของการจราจรทางอินเทอร์เน็ต [ 29 ] และแม้กระทั่งในวันแรกของการจำแนกการจราจร P2P [ 30 ] คำนิยามนี้อาศัยหมายเลขพอร์ตและการขนส่งชั้นโปรโทคอล .ล่าสุดโปรแกรม P2P P2P เป็นบอทขั้นสูงด้วยการสุ่มพอร์ตการสื่อสารของพวกเขา ( s ) และทำงานผ่าน TCP เป็น UDP . โปรแกรมดังกล่าวจะไม่สามารถระบุวิธีการแบบดั้งเดิมเหล่านี้ เนื่องจากพฤติกรรมดังกล่าวเป็นลักษณะของตัวแปรล่าสุดของโปรแกรม P2P ( อ่อนโยนหรือร้าย ) จะเห็นได้ว่าการวิจัยที่ผ่านมาไม่ได้สัมผัสกับด้านนี้
.ในการตอบสนองนี้ งานล่าสุด [ 22 ] ได้ใช้ 2 - tuple Super ' ไหล ' วิธีการที่ใช้กับกราฟเทคนิคตรวจสอบการจราจร P2P สำหรับบ็อตเน็ต . ถึงแม้ว่าผู้เขียน [ 22 ] นำเสนอข้อมูลเชิงลึกที่น่าสนใจและได้รับความถูกต้องที่ดีในการตรวจสอบการจราจร P2P ของทั้งสองเอง วิธีการของพวกเขามีข้อ จำกัด บางอย่างงานประเมินตรวจสอบ P2P เองกับเว็บจราจรทั่วไป ( ที่ไม่ได้วิเคราะห์การแสดงตนหรือขาดของการจราจร P2P ทั่วไป ) นี้เป็นข้อ จำกัด การจราจร P2P ช่องโหว่ร้ายแรงเพราะ ( ค่อนข้างแน่นอน ) จัดแสดงมากมาย มิ - larities การจราจร P2P ใจดี นอกจากนี้ กราฟตามวิธีการทำงานใน ' snapshot ' ของเครือข่ายP2P สุทธิ - งานมีอัตราการปั่นสูง ' ' ( เข้าร่วม และทิ้งเพื่อน ) เนื่องจากเครือข่ายมีการเปลี่ยนแปลงอย่างรวดเร็ว มีโซลูชั่นที่แนะนำสำหรับ ' snapshot ' ของเครือข่ายได้อย่างรวดเร็วจะกลายเป็นล้าสมัย ดังนั้น แนวทางของพวกเขาจะล้มเหลวในการปรากฏตัวของการจราจร P2P ใจดีความแตกต่างระหว่างโฮสต์ที่ใช้ปกติโปรแกรม P2P และโฮสต์ที่ติดเชื้อโดย P2P Bot - สุทธิจะมีความเกี่ยวข้องอย่างมากกับผู้บริหารเครือข่ายปกป้องเครือข่ายของพวกเขา .
อีกผลงานล่าสุด [ 31 ] ได้ใช้
'conversation-based ' วิธีการใน P2P โดเมน แต่สำหรับปัญหาที่แตกต่างกัน ได้แก่ การตรวจหากว่า - กระทบชุมชน P2P ในโครงข่ายงานไม่เน้นการโปรแกรม P2P ที่เฉพาะเจาะจงใด ๆไม่ว่าร้ายหรืออ่อนโยน
รุ่นเบื้องต้นของงานของเรา [ 32 ] บุญธรรมสนทนาจากแนวทางการตรวจหา Bot - P2P แห ใน [ 32 ]เราค้นหาสูงและต่ำปริมาณ ระยะเวลาการสนทนาเพื่อแยก P2P บอทจากปพลิเคชันและใช้รูปแบบเวลาของพวกเขาเป็นคุณลักษณะที่แตกต่างสำหรับประเภทของปพลิเคชัน P2P ที่แตกต่างกันและบอท เรื่องที่ผ่านมาผลงานการไหลตามแนวซูเปอร์หรือการสนทนา ( [ 22,31,32 ] ) ที่อยู่ข้อเสียเปรียบโดยธรรมชาติของวิธีการเหล่านี้ :พวกเขาล้มเหลวในการตรวจสอบกิจกรรมของบ็อตเน็ต ถ้าบอท P2P และปพลิเคชันที่ใช้ในเครื่องเดียวกัน ( ซึ่งอาจเป็นสถานการณ์ที่หายาก แต่ไม่สามารถปกครองออกกระนั้น ) นี้เป็นเพราะการสนทนา ( หรือ Super - ไหล ) พยายามที่จะให้มุมมองตานกของการสื่อสารที่เกิดขึ้นในเครือข่าย และดังนั้นจึง คุณหนึ่งรายละเอียดปลีกย่อย .
ก่อนส่วนใหญ่เน้น classifi - การจราจร P2P การจากมุมมองของปัญหาทั่วไปของการจำแนกการจราจรทางอินเทอร์เน็ต [ 19 ] หรือได้รับความสนใจเป็นพิเศษกับการตรวจสอบ botnets ( จากส่วนกลาง หรือจาก tributed ) ในเดือนกันยายน [ อินเทอร์เน็ต ]ความท้าทายของการต่อต้าน - ข้อความลับ ๆ ล่อ ๆเอง P2P ในการปรากฏตัวของการจราจร P2P อาจไม่ได้รับความสนใจมากนัก
เริ่มต้นการทำงานในการตรวจหา botnets P2P ที่เกี่ยวข้องตามลายเซ็นและพอร์ตตามแนว [ 23 ] ซูลู - ใช้งาน เช่น botminer [ 20 ] พึ่งจุดต่อนิ้วซึ่งสามารถแพ้บอทโดยใช้การเข้ารหัส บางส่วนของผลงานล่าสุดได้ใช้ดูแล [ 24[ 25 ] และ unsupervised 26,27 ] เครื่องเรียนรู้แนวทางและมาตรการทางสถิติอื่น ๆ [ 28 ] peerrush [ 24 ] สร้างโปรแกรมประยุกต์ของโปรไฟล์จากเครือข่ายร่องรอยของโปรแกรม P2P หลาย งานที่ใช้บรรทุกขนาด และ อินเตอร์ แพ็คเก็ตล่าช้าประเภท P2P โปรแกรมที่ทำงานบนโฮสต์ วิธีการของ Zhang et al . [ 2627 ] ' ' ที่ใช้ควบคุมการไหลของโปรแกรม P2P เพื่อแยกลายนิ้วมือเชิงสถิติ บอทได้ระบุตาม P2P บางคุณสมบัติเช่นพิมพ์นิ้วมือ - ความเหมือน , หมายเลขติดต่อที่ซ้อนทับกัน persis - สื่อสาร , เต็นท์ ฯลฯ อย่างไรก็ตาม งานของพวกเขาสามารถตรวจจับบอทภายในเครือข่าย P2P เมื่อมีหลายเปิ้ลติดโหนดของบ็อตเน็ตเดียวกันเยน ไรเตอร์ [ 28 ] พยายามที่จะแยกจากเนื้องอก P2P P2P บอทปพลิเคชันขึ้นอยู่กับตัวชี้วัดเช่นปริมาณของข้อมูลที่แลกเปลี่ยนและจำนวนเพื่อนติดต่อ ขออภัย ยาง - ตูเรสไม่เพียงพอที่จะได้อย่างถูกต้องความแตกต่างบอท P2P และปพลิเคชัน นอกจากนี้ วิธีการของพวกเขาล้มเหลวที่จะตรวจจับบอทเมื่อบอทและปพลิเคชันรันในเครื่องเดียวกัน .
ที่สุดของผลงานที่ผ่านมามีงานคลาสสิก 5 - tuple การไหลของเครือข่าย แพ็คเก็ตได้ 2 - sified เป็น ' ไหล ' ตาม 5-tuple แหล่ง IP , พอร์ตต้นทาง , IP , พอร์ตปลายทางปลายทาง และการขนส่งชั้นโปรโตคอล มีพฤติกรรมการไหลแบบสองทิศทาง และทิศทาง - tion ของไหลจะตัดสินใจบนพื้นฐานของทิศทางที่ packet แรกเห็นความหมายดั้งเดิมของการไหลได้ถูกมากที่ใช้และได้เห็นความสำเร็จมากในการจำแนกปัญหาของการจราจรทางอินเทอร์เน็ต [ 29 ] และแม้กระทั่งในวันแรกของการจำแนกการจราจร P2P [ 30 ] คำนิยามนี้อาศัยหมายเลขพอร์ตและการขนส่งชั้นโปรโทคอล .ล่าสุดโปรแกรม P2P P2P เป็นบอทขั้นสูงด้วยการสุ่มพอร์ตการสื่อสารของพวกเขา ( s ) และทำงานผ่าน TCP เป็น UDP . โปรแกรมดังกล่าวจะไม่สามารถระบุวิธีการแบบดั้งเดิมเหล่านี้ เนื่องจากพฤติกรรมดังกล่าวเป็นลักษณะของตัวแปรล่าสุดของโปรแกรม P2P ( อ่อนโยนหรือร้าย ) จะเห็นได้ว่าการวิจัยที่ผ่านมาไม่ได้สัมผัสกับด้านนี้
.ในการตอบสนองนี้ งานล่าสุด [ 22 ] ได้ใช้ 2 - tuple Super ' ไหล ' วิธีการที่ใช้กับกราฟเทคนิคตรวจสอบการจราจร P2P สำหรับบ็อตเน็ต . ถึงแม้ว่าผู้เขียน [ 22 ] นำเสนอข้อมูลเชิงลึกที่น่าสนใจและได้รับความถูกต้องที่ดีในการตรวจสอบการจราจร P2P ของทั้งสองเอง วิธีการของพวกเขามีข้อ จำกัด บางอย่างงานประเมินตรวจสอบ P2P เองกับเว็บจราจรทั่วไป ( ที่ไม่ได้วิเคราะห์การแสดงตนหรือขาดของการจราจร P2P ทั่วไป ) นี้เป็นข้อ จำกัด การจราจร P2P ช่องโหว่ร้ายแรงเพราะ ( ค่อนข้างแน่นอน ) จัดแสดงมากมาย มิ - larities การจราจร P2P ใจดี นอกจากนี้ กราฟตามวิธีการทำงานใน ' snapshot ' ของเครือข่ายP2P สุทธิ - งานมีอัตราการปั่นสูง ' ' ( เข้าร่วม และทิ้งเพื่อน ) เนื่องจากเครือข่ายมีการเปลี่ยนแปลงอย่างรวดเร็ว มีโซลูชั่นที่แนะนำสำหรับ ' snapshot ' ของเครือข่ายได้อย่างรวดเร็วจะกลายเป็นล้าสมัย ดังนั้น แนวทางของพวกเขาจะล้มเหลวในการปรากฏตัวของการจราจร P2P ใจดีความแตกต่างระหว่างโฮสต์ที่ใช้ปกติโปรแกรม P2P และโฮสต์ที่ติดเชื้อโดย P2P Bot - สุทธิจะมีความเกี่ยวข้องอย่างมากกับผู้บริหารเครือข่ายปกป้องเครือข่ายของพวกเขา .
อีกผลงานล่าสุด [ 31 ] ได้ใช้
'conversation-based ' วิธีการใน P2P โดเมน แต่สำหรับปัญหาที่แตกต่างกัน ได้แก่ การตรวจหากว่า - กระทบชุมชน P2P ในโครงข่ายงานไม่เน้นการโปรแกรม P2P ที่เฉพาะเจาะจงใด ๆไม่ว่าร้ายหรืออ่อนโยน
รุ่นเบื้องต้นของงานของเรา [ 32 ] บุญธรรมสนทนาจากแนวทางการตรวจหา Bot - P2P แห ใน [ 32 ]เราค้นหาสูงและต่ำปริมาณ ระยะเวลาการสนทนาเพื่อแยก P2P บอทจากปพลิเคชันและใช้รูปแบบเวลาของพวกเขาเป็นคุณลักษณะที่แตกต่างสำหรับประเภทของปพลิเคชัน P2P ที่แตกต่างกันและบอท เรื่องที่ผ่านมาผลงานการไหลตามแนวซูเปอร์หรือการสนทนา ( [ 22,31,32 ] ) ที่อยู่ข้อเสียเปรียบโดยธรรมชาติของวิธีการเหล่านี้ :พวกเขาล้มเหลวในการตรวจสอบกิจกรรมของบ็อตเน็ต ถ้าบอท P2P และปพลิเคชันที่ใช้ในเครื่องเดียวกัน ( ซึ่งอาจเป็นสถานการณ์ที่หายาก แต่ไม่สามารถปกครองออกกระนั้น ) นี้เป็นเพราะการสนทนา ( หรือ Super - ไหล ) พยายามที่จะให้มุมมองตานกของการสื่อสารที่เกิดขึ้นในเครือข่าย และดังนั้นจึง คุณหนึ่งรายละเอียดปลีกย่อย .
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- Hold on
- I could go. Bye.
- เนื่องจากใช้งานของเครือข่ายอื่นWonderful
- Chili pepper?
- เหนื่อย
- คุณป้อม
- ชื่อจริงจันทกานต์ จันทร
- เพราะไม่มีใครอยากป่วย
- คณะผู้จัดทำ ขอขอบคุณทุกท่านดังที่ได้กล่า
- On bass guitar, slapping usually refers
- Lid
- The production teams would like to thank
- หัวหน้าแผนกสโตร์
- Half of this amount was provided five da
- since we met in that day my heart know t
- Each of the eight strategies most populo
- Increased work demand on individual empl
- Due to the resistance of these microbial
- To evade detection by intrusion detectio
- อีกมุมมองจากฉัน
- The tower is about 42 feet high.
- นั้นคือเงินที่ต้องมาแต่งฉัน
- and nonlinear dynamical system [
- how
