Saya sedang baca paper menarik tentang Botfinder (Pencari Bot). Paper ini merupakan hasil penelitian dari Florian Tegeler dan Xiaoming Fu keduanya dari University of Gottingen serta Giovanni Vigna dan Christopher Kruegel dari UC Santa Barbara. Judul lengkap papernya “BotFinder: Finding Bots in Network Traffic Without Deep Packet Inspection”.
Bot adalah jenis malware yang digunakan penyerang untuk mengendalikan komputer korban. Setelah bot menginfeksi komputer, maka komputer akan dikendalikan (diremote) oleh penyerang. Bot sering digunakan untuk mengirim spam, mencuri data dan untuk melakukan serangan denial of service (DoS). Bot dapat dideteksi dengan antivirus. Hanya saja seringkali bot menginfeksi puluhan bahkan ratusan komputer dan membentuk botnet (jaringan bot). Sehingga perlu dilakukan instalasi antivirus pada banyak komputer yang terinfeksi bot.
Cara yang lebih efektif adalah dengan melakukan deteksi bot pada perangkat jaringan. Misalnya dengan menggunakan tools Deep Packet Inspection (DPI). Cara kerja DPI adalah dengan melakukan analisa trafik jaringan. Misalnya dengan mendeteksi adanya Spam, serangan DDos, melakukan deteksi kejanggalan (anomaly detection), maupun melakukan analisa paket (seperti HTTP structure, payloads dan signature tertentu). Teknik ini sering disebut sebagai vertical correlation.
Cara deteksi lainnya disebut teknik horizontal correlation. Beberapa alat bantu deteksi bot seperti BotSniffer BotMiner dan TAMD telah mengimplementasikan teknik ini.
Tegeler pada penelitian ini mengembangkan teknik vertical correlation tanpa perlu menggunakan DPI. Tegeler mengimplementasikan teknik tersebut pada tools Botfinder. Botfinder melakukan analisa trafik koneksi jaringan, mencari pola komunikasi bot dengan server Control and command (C&C). Ketika melakukan analisa trafik botfinder menggunakan analisa statistik dan transformasi Fourier.
Secara umum tools yang dikembangkan ini memiliki fase training dan fase deteksi. Pada fase training, botfinder akan mengumpulkan trafik jaringan, menganalisa dan mencari pola komunikasi antara bot dan server C&C. Pola ini kemudian akan digunakan pada fase deteksi untuk mendeteksi bot. Cara kerjanya Botfinder dibagi 5 tahap: Training Malware traffic, Flow Reassembly, Trace Extraction, Statistical Feature Analysis dan model creation.
Menurut Tegeler dari hasil pengujian, Botfinder memiliki tingkat deteksi Bot yang cukup tinggi. Teknik ini berhasil mendeteksi keberadaan bot sampai 80%, dengan tingkat kesalahan deteksi (false positive) yang cukup rendah. Semuanya dicapai tanpa menggunakan DPI. Menurut Tegeler BotFinder juga cukup ampuh menghadapi berbagai teknik pengelabuan malware (evasion strategies)
Semoga Bermanfaat!
Paper lengkapnya dapat dilihat pada link berikut:
https://www.cs.ucsb.edu/~vigna/publications/2012_CoNEXT_BotFinder.pdf
Sementara slide presentasinya dapat dilihat pada link berikut:
https://conferences.sigcomm.org/co-next/2012/slides/tegeler_26.pptx