DNS Query Failure and Algorithmically Generated Domain-Flux Detection
Název česky | Poruchy DNS Query a algoritmicky generované Domain-Flux detekce |
---|---|
Autoři | |
Rok publikování | 2014 |
Druh | Článek ve sborníku |
Konference | Proceedings of International Conference on Frontiers of Communications, Networks and Applications |
Fakulta / Pracoviště MU | |
Citace | |
www | http://ieeexplore.ieee.org/xpl/articleDetails.jsp?arnumber=7141236&newsearch=true&searchWithin=%22First%20Name%22:Ibrahim&searchWithin=%22Last%20Name%22:Ghafir |
Doi | http://dx.doi.org/10.1049/cp.2014.1410 |
Obor | Informatika |
Klíčová slova | Cyber attacks; botnet; domain flux; malware; intrusion detection system |
Přiložené soubory | |
Popis | Botnety jsou v současné době považovány za jednu z nejzávažnějších bezpečnostních hrozeb. Robotické sítě, jako je Conficker, Murofet a BankPatch použili techniku toku doménou pro připojení k serverům velení a řízení (CaC), kde každý Bot dotaz na existenci řady doménových jmen se používal jako místo setkání se svými regulátory, zatímco majitel musí zaregistrovat pouze jedno takové jméno domény. Velký počet potenciálních "Rendezvous" bodů ztěžuje možnosti účinně elimonovat vliv botnetů. V tomto článku prezentujeme naši metodiku pro zjišťování algoritmicky generovaných toků doménou. Naše metoda detekce je založena na selhání DNS dotazů vyplývajících z techniky toku doménou. Zpracováváme síťový provoz, zejména DNS provoz. Analyzujeme všechny neúspěšné DNS dotazy a navrhujeme práh pro selhání dotazu DNS ze stejné IP adresy. Použili jsme naši metodiku na zachycování paketů (pcap) souboru obsahující skutečný malware a dokázali jsme, že naše metoda může úspěšně detekovat techniky toku doménou a určit infikovaného hostitele. Aplikovali jsme naši metodu na provozu v rámci akademické sítě v živém provozu a ukázali jsme, že může automaticky detekovat techniky toku doménou a identifikovat infikovaný hostitele v reálném čase. |
Související projekty: |