Бобровнікова, К.Ю.Денисюк, Д.О.Бойко, А.О.Bobrovnikova, K.Denysiuk, D.Boyko, A.2020-11-012020-11-012019Бобровнікова К. Ю. Модель бот-мереж з врахуванням системи доменних імен [Текст] / К. Ю. Бобровнікова, Д. О. Денисюк, А. О. Бойко // Вимірювальна та обчислювальна техніка в технологічних процесах. – 2019. – №2. – С. 50-64.2219-9365https://elar.khmnu.edu.ua/handle/123456789/9216В роботі представлено модель бот-мереж з врахуванням системи доменних імен (Domain Name System, DNS), а також використання бот-мережами технологій ухилення від виявлення на основі DNS, таких як періодична зміна IP-відображення (cycling of IP mapping), «потік доменів» (domain flux), «швидкозмінні мережі» (fast flux) та DNS-тунелювання (DNS-tunneling), і різних способів комунікації ботів з командно-контролюючими центрами бот-мереж (C&C-серверами). Використання розробленої моделі надає можливість здійснювати виявлення ботів бот-мереж централізованої, розподіленої та гібридної архітектури на різних етапах життєвого циклу бот-мереж. Залучення моделі дозволяє підвищити точність виявлення бот-мереж на основі аналізу DNS-трафіка вже на початкових етапах інфікування мереж.The paper presents a model of botnets taking into account the Domain Name System (DNS), as well as the using of botnets of DNS-based evasion techniques, such as cycling of IP mapping, “domain flux”, “fast flux” and DNS-tunneling. Using of the developed model will allow detecting bots of botnets of centralized, distributed and hybrid architecture, taking into account their using of the Domain Name System at different stages of the botnet life cycle. The involvement of the model makes it possible to detect botnets that use the DNS-based evasion techniques and different DNS-based communication methods between bots and botnet’s command and control centers (C&C-servers). Using of the developed model will allow detecting botnets based on the DNS traffic analysis already at the initial stages of network infection with high efficiency. The experimental results demonstrate the ability to detect botnets that use DNS-based evasion techniques up to 99,1%, while the level of false positives was about 0,11%.ukботбот-мережавиявлення бот-мережDNSDNS-трафіктехнології ухилення від виявлення бот-мережперіодична зміна IP-відображення«потік доменів»«швидкозмінні мережі»DNS-тунелюванняжиттєвий цикл бот-мережшкідливе програмне забезпеченняbotbotnetbotnet detectionDNS trafficbotnet's evasion techniquescycling of IP mapping“domain flux”“fast flux”DNS-tunnelingbotnet’s life cyclemalwareСтаття004.491.2