Метод та програмне забезпечення виявлення шкідливих запитів в комп'ютерних мережах на основі протоколу dns
Вантажиться...
Файли
Дата
2019
Автори
Лисенко, С.М.
Лісовий, В.О.
Lysenko, S.
Lisovyi, V.
Назва журналу
Номер ISSN
Назва тому
Видавець
Хмельницький національний університет
Анотація
В роботі представлено метод, спрямований на виявлення і блокування доменів, які запитуються в
потоковому трафіку DNS і використовуються для зловмисного видалення даних DNS. Згідно з методом потоковий
трафік DNS збирається і перетворюється на вектори відповідності доменів. Після цього попередньо навчений
класифікатор класу використовується для виявлення доменів, які обмінюються даними через DNS. Одразу після
цього запити на домени, які класифікуються як такі, що використовуються для обміну даними, блокуються на
невизначений час. Метод дозволяє його реалізацію в DNS-серверах, якщо вони підтримують протоколювання DNS-
трафіку і чорного списку доменів. Описаний метод дає можливість виявляти шкідливі потоки пакетів даних серед
звичайних, а постійний моніторинг визначених шкідливих потоків дає можливість виявити зловмисника та
дозволяє ізолювати звичайний мережевий потік даних від шкідливого.
Today's network attacks are one of the most dangerous cyber threats, as well as one of the main sources of illegal earnings on the Internet. Most often, such attacks are carried out by botnets and used for DDoS attacks (distributed attacks such as "denial of service"), collecting confidential information, sending spam, using adware, phishing, clicking clicks (click traffic), creating spam searches, the use of infected computers for storing illegal material (pirated software, etc.) and as proxies for anonymizing access to the Internet. Antivirus software using signature-based technologies cannot normally detect harmful zero-day software, since such new signatures are not available for newly created malware. An analysis of known methods to combat cyberattacks shows their lack of efficiency, so building a new method for detecting cyberthreats is an extremely urgent task. The article presents a new method for detecting DNS-attack type. Article proposes a method for detecting and blocking domains that are requested in DNS streaming traffic and used to maliciously delete DNS data. According to the method, DNS traffic is collected and converted into domain matching vectors. After that, a pre-trained classifier class is used to identify domains that exchange data through DNS. Immediately thereafter, queries for domains that are classified as used for data exchange are blocked indefinitely. The method allows its implementation on DNS servers if they support DNS traffic logging and the blacklist of domains. The described method makes it possible to detect harmful streams of data packets among ordinary, and continuous monitoring of certain malicious flows makes it possible to detect an attacker and allows to isolate the usual network data stream from the harmful one.
Today's network attacks are one of the most dangerous cyber threats, as well as one of the main sources of illegal earnings on the Internet. Most often, such attacks are carried out by botnets and used for DDoS attacks (distributed attacks such as "denial of service"), collecting confidential information, sending spam, using adware, phishing, clicking clicks (click traffic), creating spam searches, the use of infected computers for storing illegal material (pirated software, etc.) and as proxies for anonymizing access to the Internet. Antivirus software using signature-based technologies cannot normally detect harmful zero-day software, since such new signatures are not available for newly created malware. An analysis of known methods to combat cyberattacks shows their lack of efficiency, so building a new method for detecting cyberthreats is an extremely urgent task. The article presents a new method for detecting DNS-attack type. Article proposes a method for detecting and blocking domains that are requested in DNS streaming traffic and used to maliciously delete DNS data. According to the method, DNS traffic is collected and converted into domain matching vectors. After that, a pre-trained classifier class is used to identify domains that exchange data through DNS. Immediately thereafter, queries for domains that are classified as used for data exchange are blocked indefinitely. The method allows its implementation on DNS servers if they support DNS traffic logging and the blacklist of domains. The described method makes it possible to detect harmful streams of data packets among ordinary, and continuous monitoring of certain malicious flows makes it possible to detect an attacker and allows to isolate the usual network data stream from the harmful one.
Опис
Ключові слова
DNS протокол, DoS-атака, кіберзагроза, кібератака, виявлення кібератак, мережний трафік, DNS protocol, DNS tunnelling, DoS-attack, cyberattack, cyberattacks detection, network traffic
Бібліографічний опис
Лисенко, С.М. Метод та програмне забезпечення виявлення шкідливих запитів в комп'ютерних мережах на основі протоколу DNS [Текст] / С. М. Лисенко, В. О. Лісовий // Вісник Хмельницького національного університету. Технічні науки. – 2019. – №3. – С. 173-179.