Tor-based Malware and Tor Connection Detection

Varování

Publikace nespadá pod Ústav výpočetní techniky, ale pod Fakultu informatiky. Oficiální stránka publikace je na webu muni.cz.
Autoři

GHAFIR Ibrahim SVOBODA Jakub PŘENOSIL Václav

Rok publikování 2014
Druh Článek ve sborníku
Konference Proceedings of International Conference on Frontiers of Communications, Networks and Applications
Fakulta / Pracoviště MU

Fakulta informatiky

Citace
www http://ieeexplore.ieee.org/xpl/articleDetails.jsp?arnumber=7141237&newsearch=true&searchWithin=%22First%20Name%22:Ibrahim&searchWithin=%22Last%20Name%22:Ghafir
Doi http://dx.doi.org/10.1049/cp.2014.1411
Obor Informatika
Klíčová slova Cyber attacks; botnet; Tor network; malware; intrusion detection system
Přiložené soubory
Popis Anonymní komunikační sítě, jako Tor, částečně chrání důvěrnost provozu uživatelů šifrováním veškeré komunikace v rámci překryvné sítě. Nicméně, i Tor přináší problémy; velká část provozu v sítích Tor je ve skutečnosti podrobena port scanning, pokusy hacking, exfiltrace ukradených dat a další formy on-line kriminality. Anonymní síť Tor je často zneužívána hackery za účelem vzdáleného ovládání napadených počítačů. V této práci předkládáme naši metodologii pro zjišťování jakéhokoliv spojení do nebo ze sítě Tor. Naše metoda detekce je založena na seznamu serverů Tor. Zpracováváme síťový provoz a odpovídáme zdrojové a cílové adresě IP pro každé spojení se seznamem serverů Tor. Seznam serverů Tor se automaticky aktualizuje každý den a detekce je v reálném čase. Aplikovali jsme naši metodiku na živou komunikaci v kampusu a ukázali jsme, že může automaticky rozpoznat spojení Tor v reálném čase. Aplikovali jsme také metodologii na soubory pro zachycení paketů (pcap), které obsahují reálný a dlouhotrvající malwareový provoz, a ukázali jsme, že naše metodologie dokáže úspěšně rozpoznat spojení Tor.
Související projekty:

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.

Další info