DNS Query Failure and Algorithmically Generated Domain-Flux Detection

Varování

Publikace nespadá pod Ústav výpočetní techniky, ale pod Fakultu informatiky. Oficiální stránka publikace je na webu muni.cz.
Název česky Poruchy DNS Query a algoritmicky generované Domain-Flux detekce
Autoři

GHAFIR Ibrahim PŘENOSIL Václav

Rok publikování 2014
Druh Článek ve sborníku
Konference Proceedings of International Conference on Frontiers of Communications, Networks and Applications
Fakulta / Pracoviště MU

Fakulta informatiky

Citace
www http://ieeexplore.ieee.org/xpl/articleDetails.jsp?arnumber=7141236&newsearch=true&searchWithin=%22First%20Name%22:Ibrahim&searchWithin=%22Last%20Name%22:Ghafir
Doi http://dx.doi.org/10.1049/cp.2014.1410
Obor Informatika
Klíčová slova Cyber attacks; botnet; domain flux; malware; intrusion detection system
Přiložené soubory
Popis Botnety jsou v současné době považovány za jednu z nejzávažnějších bezpečnostních hrozeb. Robotické sítě, jako je Conficker, Murofet a BankPatch použili techniku toku doménou pro připojení k serverům velení a řízení (CaC), kde každý Bot dotaz na existenci řady doménových jmen se používal jako místo setkání se svými regulátory, zatímco majitel musí zaregistrovat pouze jedno takové jméno domény. Velký počet potenciálních "Rendezvous" bodů ztěžuje možnosti účinně elimonovat vliv botnetů. V tomto článku prezentujeme naši metodiku pro zjišťování algoritmicky generovaných toků doménou. Naše metoda detekce je založena na selhání DNS dotazů vyplývajících z techniky toku doménou. Zpracováváme síťový provoz, zejména DNS provoz. Analyzujeme všechny neúspěšné DNS dotazy a navrhujeme práh pro selhání dotazu DNS ze stejné IP adresy. Použili jsme naši metodiku na zachycování paketů (pcap) souboru obsahující skutečný malware a dokázali jsme, že naše metoda může úspěšně detekovat techniky toku doménou a určit infikovaného hostitele. Aplikovali jsme naši metodu na provozu v rámci akademické sítě v živém provozu a ukázali jsme, že může automaticky detekovat techniky toku doménou a identifikovat infikovaný hostitele v reálném čase.
Související projekty:

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.

Další info