2015
DNS Traffic Analysis for Malicious Domains Detection
GHAFIR, Ibrahim a Václav PŘENOSILZákladní údaje
Originální název
DNS Traffic Analysis for Malicious Domains Detection
Název česky
Analýza DNS provozu pro detekci škodlivých domén
Autoři
GHAFIR, Ibrahim a Václav PŘENOSIL
Vydání
Noida, India, Proceedings of International Conference on Signal Processing and Integrated networks, od s. 613-618, 6 s. 2015
Nakladatel
IEEE Xplore Digital Library
Další údaje
Jazyk
angličtina
Typ výsledku
Stať ve sborníku
Obor
10201 Computer sciences, information science, bioinformatics
Stát vydavatele
Spojené státy
Utajení
není předmětem státního či obchodního tajemství
Forma vydání
tištěná verze "print"
Odkazy
Označené pro přenos do RIV
Ano
Kód RIV
RIV/00216224:14330/15:00080504
Organizační jednotka
Fakulta informatiky
ISBN
978-1-4799-5991-4
EID Scopus
Klíčová slova česky
Kybernetické útoky; botnet; škodlivá doména; malware; systém pro odhalení průniků Detection System
Klíčová slova anglicky
Cyber attacks; botnet; malicious domain; malware; intrusion detection system
Štítky
Příznaky
Mezinárodní význam, Recenzováno
Změněno: 14. 9. 2018 11:55, Ibrahim Ghafir, Ph.D.
V originále
The web has become the medium of choice for people to search for information, conduct business, and enjoy entertainment. At the same time, the web has also become the primary platform used by miscreants to attack users. For example, drive-by-download attacks, which could be through malicious domains, are a popular choice among bot herders to grow their botnets. In this paper we present our methodology for detecting any connection to malicious domain. Our detection method is based on a blacklist of malicious domains. We process the network traffic, particularly DNS traffic. We analyze all DNS requests and match the query with the blacklist. The blacklist of malicious domains is updated automatically and the detection is in the real time. We applied our methodology on a packet capture (pcap) file which contains traffic to malicious domains and we proved that our methodology can successfully detect the connections to malicious domains. We also applied our methodology on campus live traffic and showed that it can detect malicious domain connections in the real time.
Česky
Web se stal rozšířeným médiem pro vyhledávání informací, podnikání zábavu. Zároveň se web stal primární platformou podvodníků pro útoky na uživatele. Například tzv "drive-by-download" útoky, které mohou být šířeny prostřednictvím škodlivých domén, jsou oblíbenou metodou šíření botnetů. V tomto článku je prezentována metodika pro zjištění jakékoliv spojení se škodlivou doménou. Navržená metoda detekce je založen na černé listině škodlivých domén. Zpracováváme síťový provoz, zejména DNS provoz. Analyzujeme všechny požadavky DNS a detekujeme každý dotaz na černou listinu. Černá listina škodlivých domén se automaticky aktualizuje a tím umožňuje detekci v reálném čase. Navržená metodika byla testována na tzv "packet capture - pcap" souborech, které obsahují informace o provozu škodlivých domén a dokázali jsme, že naše metodologie může úspěšně detekovat připojení k škodlivým doménám. Navržená metoda byla aplikována živém provozu na akademické půdě a ukázala, že je schopna detekovat připojení na škodlivé domény v reálném čase.
Návaznosti
| OFMASUN201301, projekt VaV |
|