Detecting IoT Botnet using Network Traffic analysis A thesis submitted in partial fulfillment for the requirements

Abstract

Abstract

The IoT security has become a global industry necessity. Therefore, we aim in this research to give our solution to one of the most threats, targeting IoT devices, which is the IoT Malware. The main purpose of this research is to identify IoT malwares and to locate its origin, which known as command and control server. There are two approaches used in this research: first, we inspect the network traffic between the bot and the command and control server, using a project called cuckoo sandbox. The sandbox behavioral report gives us the nature of the malware and the IP address of the command and control server. Our second approach is to apply machine-learning algorithms to perform static malware analysis, to detect the IOT malware that has not establish a connection to the command and control server. Our machine-learning approach consist of two module: training module, in which we compare between five algorithms, the module choses the winning algorithm. The other module is the testing module, where we apply the winning algorithm to our dataset to identify the IOT malware. Because of the big scope of the topic, we recommend further work to enhance the ability of the code to determine the IP address of the command and control server even when it has no communication we the bot by analyzing the malware source code and its inside written instructions.

المستخلص

أصبح الاهتمام بامن اجهزة انترنت الاشياء امرا ضرورياً للصناعة العالمية. عليه فاننا في هذا البحث نقدم اقتراحنا لكيفية الكشف عن اكبر المهددات لاجهزة وشبكات امن الاشياء وهي البرمجيات الخبيثة المختصة بامن الاشياء. الهدف الرئيسي من وراء هذا البحث هو ايجاد وسيلة للتعرف علي البرمجيات الضارة التي تستهدف اجهزة انترنت الاشياء, والتعرف علي منشاها وموقع مخدم الاوامر والسيطرة الذي يتحكم بها ويرسل لها التعليمات. قسمت منهجية هذا البحث الي قسمين : اولاً, تمت مراقبة حركة البيانات بين البرمجيات الضارة والمخدم في حالة وجود اتصال بينهما وذلك عبر استخدام مشروع يقوم بمراقبة تدفق البيانات عبر الشبكة ويسمي Cuckoo sandbox. باستخدام التقرير النهائي نستطيع تحديد البرمجية الضارة وعنوان مخدم الاوامر والسيطرة. ثانياً, طبقنا نموذجنا للتعلم الالي علي البرمجيات الضارة بحيث يستطيع تحليل الكود الاصلي للبرمجيات الضارة من غير الحوجة لوجود اتصال مع مخدم الاوامر والسيطرة. ويحتوي هذا النموذج علي جزئين: جزء التعلم : وفيه تتم المقارنة بين عدد من لوغريثمات التعلم الالي واختيار الافضل من حيث القدرة علي التعرف علي البرمجيات الضارة. جزء الاختبار : ويتم فيه تطبيق النموذج باستخدام اللوغريثم الافضل لتحديد ما اذا كان الملف المختبر هو من البرمجيات الضارة او لا. لان مجال البحث هو مجال واسع ومتغيراته اكبر ونسبة لمحدودية الوقت والموارد التي توفرت لدينا, فهنالك عدة نتائج كان من المأمول التوصل اليها. ولكننا في توصياتنا اوضحنا ان الاهم هو ان نستطيع تحديد باستخدام الكود الخاص بالتعلم الالي بعد تطويره ان نتحصل علي عنوان مخدم السيطرة والاوامر من دون الحاجة الي اتصال مع البرمجية الضارة. ايضا نوصي بتطوير الية لتصنيف البرمجيات الضارة الخاصة بانترنت الاشياء الي عائلات ليسهل التعرف عليها والتعامل معها.