Модель бот-мереж з врахуванням системи доменних імен
Вантажиться...
Файли
Дата
2019
Автори
Бобровнікова, К.Ю.
Денисюк, Д.О.
Бойко, А.О.
Bobrovnikova, K.
Denysiuk, D.
Boyko, A.
Назва журналу
Номер ISSN
Назва тому
Видавець
Хмельницький національний університет
Анотація
В роботі представлено модель бот-мереж з врахуванням системи доменних імен (Domain Name System, DNS), а також використання бот-мережами технологій ухилення від виявлення на основі DNS, таких як періодична зміна IP-відображення (cycling of IP mapping), «потік доменів» (domain flux), «швидкозмінні мережі» (fast flux) та DNS-тунелювання (DNS-tunneling), і різних способів комунікації ботів з командно-контролюючими центрами бот-мереж (C&C-серверами). Використання розробленої моделі надає можливість здійснювати виявлення ботів бот-мереж централізованої, розподіленої та гібридної архітектури на різних етапах життєвого циклу бот-мереж. Залучення моделі дозволяє підвищити точність виявлення бот-мереж на основі аналізу DNS-трафіка вже на початкових етапах інфікування мереж.
The paper presents a model of botnets taking into account the Domain Name System (DNS), as well as the using of botnets of DNS-based evasion techniques, such as cycling of IP mapping, “domain flux”, “fast flux” and DNS-tunneling. Using of the developed model will allow detecting bots of botnets of centralized, distributed and hybrid architecture, taking into account their using of the Domain Name System at different stages of the botnet life cycle. The involvement of the model makes it possible to detect botnets that use the DNS-based evasion techniques and different DNS-based communication methods between bots and botnet’s command and control centers (C&C-servers). Using of the developed model will allow detecting botnets based on the DNS traffic analysis already at the initial stages of network infection with high efficiency. The experimental results demonstrate the ability to detect botnets that use DNS-based evasion techniques up to 99,1%, while the level of false positives was about 0,11%.
The paper presents a model of botnets taking into account the Domain Name System (DNS), as well as the using of botnets of DNS-based evasion techniques, such as cycling of IP mapping, “domain flux”, “fast flux” and DNS-tunneling. Using of the developed model will allow detecting bots of botnets of centralized, distributed and hybrid architecture, taking into account their using of the Domain Name System at different stages of the botnet life cycle. The involvement of the model makes it possible to detect botnets that use the DNS-based evasion techniques and different DNS-based communication methods between bots and botnet’s command and control centers (C&C-servers). Using of the developed model will allow detecting botnets based on the DNS traffic analysis already at the initial stages of network infection with high efficiency. The experimental results demonstrate the ability to detect botnets that use DNS-based evasion techniques up to 99,1%, while the level of false positives was about 0,11%.
Опис
Ключові слова
бот, бот-мережа, виявлення бот-мереж, DNS, DNS-трафік, технології ухилення від виявлення бот-мереж, періодична зміна IP-відображення, «потік доменів», «швидкозмінні мережі», DNS-тунелювання, життєвий цикл бот-мереж, шкідливе програмне забезпечення, bot, botnet, botnet detection, DNS traffic, botnet's evasion techniques, cycling of IP mapping, “domain flux”, “fast flux”, DNS-tunneling, botnet’s life cycle, malware
Бібліографічний опис
Бобровнікова К. Ю. Модель бот-мереж з врахуванням системи доменних імен [Текст] / К. Ю. Бобровнікова, Д. О. Денисюк, А. О. Бойко // Вимірювальна та обчислювальна техніка в технологічних процесах. – 2019. – №2. – С. 50-64.