سامانه‌ی سروش
از بین تمامی تهدیدات امنیتی، شبکه‌های بات یکی بزرگترین مسایل مطرح‌شده در فضای مجازی هستند. شبکه‌های بات از تعداد زیادی رایانه تشکیل شده‌اند و قدرت پردازشی بالایی دارند. همین ویژگی‌ها است که این شبکه‌ها را مهم و خطرناک کرده است. در این شبکه‌ها مهاجم با پیدا کردن آسیب‌پذیری بر روی سیستم قربانی، آن را تبدیل به یک بات کرده و با اتصال آن بات به کارگزار اصلی، مدیریت آن را در دست می‌گیرد. در نتیجه مهاجم به راحتی می‌تواند اعمال بدخواه و حملات خود را از طریق این بات انجام دهد. امروزه به دلیل گستردگی شبکه‌های بات و استفاده از فناوری‌های متفاوت، ارایه‌ی یک راه‌حل جامع برای کشف شبکه‌های بات کار بسیار دشواری است. سامانه‌ی سروش سعی در کشف شبکه‌های بات دارد.
ویژگی‌ها

ارتباط زنده با سامانه‌ی خارجی مرتبط (تله‌عسل، جعبه شنی و فرنام)

مولفه‌های تحلیل‌گر واقعی در کارگزار محلی برای پردازش و تحلیل ترافیک محدوده‌ی خود واقع شده‌اند .

ذخیره‌ی نتایج حاصل از کشف بات توسط مولفه‌های تحلیل‌گر ترافیک محلی در یک پایگاه‌داده.

ارایه‌ی گزارش‌ها و آمارهای تحلیلی حاصل از کشف بات به کارشناس ناظر از طریق درگاه


مولفه‌ها
در اینجا نقشه‌ی کلی مولفه‌های سامانه‌ی سروش را مشاهده می‌کنید.

توصیف کلی لایه‌ها از قرار زیر است.
مولفه‌ی تحلیل‌گر ترافیک محلی:
  • تعدادی کارگزار محلی به عنوان محقق‌سازی مولفه‌ی تحلیل‌گر ترافیک محلی در سامانه تعبیه شده است. به عبارت دیگر، مولفه‌های تحلیل‌گر واقعی در تعدادی کارگزار محلی واقع شده است.
  • هر یک از این مولفه‌ها در شبکه‌ی محلی مربوط به خود، وظیفه‌ی پردازش و تحلیل ترافیک به منظور کشف شبکه‌های بات را برعهده دارند.
موتور تحلیل:
  • موتور تحلیل‌ در سروش، وظیفه تجمیع جواب‌های مولفه‌های تله‌عسل، جعبه‌شنی و فرنام را بر عهده دارد.
  • هم‌چنین، موتور تحلیل نتایج حاصل از کشف بات توسط مولفه‌های تحلیل‌گر ترافیک محلی را دریافت و آن‌ها را در پایگاه‌داده ذخیره می‌کند.
مولفه‌ی ارزیابی:
  • مولفه‌ی ارزیابی عملکرد سروش را مورد ارزیابی قرار می‌دهد.
  • . این مولفه، که جزو مولفه‌های داخلی درگاه محسوب می‌شود، عمل ارزیابی را با استفاده از اطلاعات خارجی انجام می‌دهد و نتیجه را به صورت یک امتیاز به پرتال می‌دهد.
درگاه:
  • درگاه، به عنوان واسط کاربران با سروش عمل می‌کند.
  • این مولفه نتایج حاصل از کشف بات، گزارش‌ها و آمارهای تحلیلی را به کارشناس ناظر نمایش می‌دهد.
سامانه‌ی تله‌عسل:
  • سامانه‌ی تله‌عسل کد باینری بات را در اختیار سامانه‌ی جعبه شنی قرار می‌دهد و جعبه شنی پس از تحلیل بات، نتایج حاصل را به موتور تحلیل ارسال می‌کند
  • از طرف دیگر، تله‌عسل امضای برنامه‌های بهره‌بردار را نیز به موتور تحلیل می‌فرستد.
  • اطلاعات بیشتر در مورد سامانه‌ی تله‌عسل.
سامانه‌ی جعبه‌شنی:
  • جعبه‌شنی موظف است بدافزارهایی را که تله‌عسل جمع‌آوری کرده است، تحلیل کرده و نتایج تحلیل را به موتور تحلیل ارسال کند.
  • نتایج تحلیل حاوی امضاهای بات و لیست کارگزارهای فرمان و کنترل یا لیست سیاه است. موتور تحلیل از این نتایج برای به‌روزرسانی لیست سیاه و امضای بات استفاده می‌کند.
  • اطلاعات بیشتر در مورد سامانه‌ی جعبه شنی.
سامانه فرنام:
  • سامانه‌ی فرنام با استفاده از نام‌دامنه‌هایی که توسط سروش به عنوان کارگزارهای فرمان و کنترل شناسایی شده‌اند (و مجموعه‌ای از نام‌دامنه‌های دیگر) به انجام وظیفه خود به عنوان فروچاله می‌پردازد و مانع از اتصال بات‌های موجود در شبکه به کارگزارهای فرمان و کنترل یا سایر نام‌دامنه‌های بدخواه می‌شود.
  • هم‌چنین، امضاهای رفتاری کارگزارهای فرمان و کنترل را که با کمک جعبه‌شنی تولید کرده است، به سروش ارسال می‌کند.
  • اطلاعات بیشتر در مورد سامانه‌ی فرنام.
sandboxenvironment

جعبه‌شنی

جعبه‌شنی موظف است اطلاعات مربوط به درخواست‌های میزبان‌های آلوده به بات را که از سامانه‌ی فرنام دریافت می‌کند تحلیل کرده و نتایج لازم را تولید کند. جعبه‌شنی آدرس‌ها و فایل‌های درخواستی را تحلیل می‌کند و با اتصال به کارگزار دستور و کنترل پاسخ‌های آن را بررسی کرده و پاسخ‌های بی‌خطر را به سامانه‌ی فرنام ارسال می‌نماید. سامانه‌ی فرنام می‌تواند این پاسخ‌ها را به بات‌ها ارسال کند تا از درخواست‌های مداوم بات‌ها برای دریافت پاسخی از سمت کارگزار دستور و کنترل جلوگیری کند. هم‌چنین، جعبه‌شنی بخشی از نتایج تحلیل خود را به سامانه‌ی سروش ارسال می‌کند. این اطلاعات عبارت‌اند از نتایج تحلیل بات و نقاط اتصال بات. با استفاده از این اطلاعات سامانه‌ی سروش می‌تواند بات‌ها و کارگزارهای دستور و کنترل را شناسایی کند.