การตรวจจับบอตเน็ตของ Sangfor

ความเป็นมา

ไม่มีแฮ็กเกอร์ที่เชี่ยวชาญรายใดเปิดการโจมตีโดยใช้ที่อยู่ IP ส่วนตัว เว้นแต่พวกเขาต้องการถูกจับได้ แฮ็กเกอร์สั่งจะสั่งให้กองทัพบอทเน็ตทำการโจมตี เช่น DDoS แรนซัมแวร์ หรือการสแกนเครือข่ายเพื่อตรวจหาทรัพย์สินมีค่าและช่องโหว่ต่างๆ เพื่อเพิ่มประสิทธิภาพในการโจมตี

Command and Control คือช่องทางสื่อสารหลักที่ใช้ในการควบคุมบอตเน็ต ในขณะที่เครือข่าย C&C นี้เคยทำงานจากที่อยู่ IP แต่ในปัจจุบัน แฮกเกอร์ได้มีการพัฒนาและมีความก้าวหน้าด้านความปลอดภัยที่มีความซับซ้อนมากขึ้น ด้วยการเปลี่ยนอัลกอริทึมการสร้างโดเมน (DGA) เป็นเซิร์ฟเวอร์ C&C บอตเน็ตจะสื่อสารกับเซิร์ฟเวอร์ C&C โดยการส่งชื่อโดเมนแบบไดนามิก ซึ่งมีการกำหนดไว้ล่วงหน้า ผ่านอัลกอริทึมที่แฮ็กเกอร์รู้จักเท่านั้น คำขอ DNS เหล่านี้จะมีการเปลี่ยนแปลงอย่างรวดเร็วและบ่อยครั้ง ทำให้การใช้ไฟร์วอล์ในการตรวจจับข้อมูลแบบอัจฉริยะแบบเดิมสามารถตรวจพบได้ยากเป็นอย่างยิ่ง

Botnet Detection Graph 1


* รูปภาพทางด้านบนอ้างอิงจาก virustotal.com (มีนาคม 2018)

ภาพรวมนวัตกรรมการตรวจจับบอตเน็ต

Sangfor สแกนหาและตรวจจับบอตเน็ตในเครือข่ายของคุณอย่างไร? Sangfor's Neural-X ใช้ชุดเทคโนโลยีการเรียนรู้เชิงลึกขั้นสูง การคำนวณด้วยภาพ และการวิเคราะห์การทำงานเพื่อให้การตรวจจับและสแกนบอตเน็ตมีประสิทธิภาพมากขึ้น

 

การเรียนรู้เชิงลึก:

การเรียนรู้เชิงลึกเป็นองค์ประกอบของการเรียนรู้ของเครื่องที่ซับซ้อนซึ่งได้รับแรงบันดาลใจมาจากการทำงานของเซลล์ประสาทที่เชื่อมต่อกันในสมองของมนุษย์ วิวัฒนาการของการเรียนรู้ของเครื่อง (Machine Learning) และองค์ประกอบของปัญญาประดิษฐ์ (AI) โดยทำการสอนตัวเองให้ทำการคาดการณ์ที่แม่นยำและรวดเร็วยิ่งขึ้นผ่านการสังเกต ประมวลผล และวิเคราะห์ข้อมูลจำนวนมหาศาล

Sangfor ใช้ Deep Learning เพื่อทำลายชื่อโดเมนที่ซ่อนเร้นเข้าไปในเวกเตอร์  ซึ่งแตกต่างจากเทคนิคการประมวลผลภาษาธรรมชาติอื่น ๆ ซึ่งมุ่งเน้นไปที่การพิจารณามัลแวร์ที่เป็นพิษเป็นภัยเป็นหลัก โมเดล Deep Learning ของ Sangfor คำนึงถึงต้นตอของมัลแวร์ด้วย เราสามารถตรวจพบชื่อโดเมนที่ใช้โดยต้นตอมัลแวร์ที่คล้ายกันผ่านกระบวนการเชื่อมโยงเวกเตอร์ เมื่อเวลาผ่านไป Deep Learning จะสอนตัวเองทุกครั้งที่มีการดำเนินการ ส่งผลให้สามารถระบุชื่อโดเมนที่เป็นอันตรายจำนวนมากที่ตรวจไม่พบก่อนหน้านี้้

 

การคำนวณด้วยภาพ:

ประเภทของมัลแวร์เปลี่ยนกลับไปสู่ต้นตอแบบดั้งเดิม หรือประเภทที่เกี่ยวข้องในการสื่อสาร C&C ด้วยการสร้างรูปแบบในการเชื่อมโยงของชื่อโดเมน Sangfor จะสามารถตรวจจับชื่อโดเมนที่ใช้โดยต้นตอของมัลแวร์ที่มีความคล้ายคลึงกันได้

 

การวิเคราะห์ขั้นตอนการทำงาน:

โดยทั่วไปแล้ว มัลแวร์จะสร้างการรับส่งข้อมูลที่ผิดปกติ เมื่อมีการสื่อสารกับเซิร์ฟเวอร์ C&C ZSand ของ Sangfor จะทำการวิเคราะห์ สังเกต และจับภาพกิจกรรมเหล่านี้ เพื่อตรวจสอบว่าระบบอยู่ภายใต้การโจมตีจากบอตเน็ตที่ควบคุมไว้หรือไม่ ซึ่งจะแสดงพฤติกรรมที่แตกต่างกันมาก เมื่อเทียบกับผู้ใช้ที่เป็นมนุษย์ จากนั้นหลักฐานที่รวบรวมเอาไว้จะถูกนำมาประมวลผลโดยเครื่องมือวิเคราะห์การทำงาน เพื่อค้นหารูปแบบพฤติกรรมที่เป็นอันตราย หลังจากนั้นจะมีการแชร์หลักฐาน IOC ของ IP URL และ DNS ที่ได้รับการยืนยันแล้วผ่านระบบตรวจจับภัยคุกคามแบบอัจฉริยะ (Threat Intelligence) ของ Sangfor เพื่อให้เป็นประโยชน์สำหรับลูกค้าทุกคน

 

botnet detection 2

 

ผลการตรวจจับบอตเน็ต

การผสมผสานเทคนิคต่างๆ ข้างต้นทำให้ค้นพบชื่อโดเมนที่เป็นอันตรายมากขึ้น เมื่อเทียบกับบริการสแกนบอตเน็ตยอดนิยมอื่นๆ เครื่องมือตรวจจับบอตเน็ตของ Sangfor ได้ค้นพบชื่อโดเมนที่เป็นอันตรายใหม่หลายชื่อแล้ว ดังที่แสดงด้านล่างในการเปรียบเทียบระหว่างชื่อโดเมนที่เป็นอันตรายที่ค้นพบโดย Sangfor และ VirusTotal

botnet detection virus total

 

ข้อได้เปรียบของเรา

การตรวจจับบอทเน็ตของ Neural-X ค้นพบชื่อโดเมนที่เป็นอันตรายมากกว่า 1 ล้านชื่อ และตรวจพบเพิ่มขึ้นเป็นรายวัน

botnet detection 4 advantages of sangfor