GHAFIR, Ibrahim and Václav PŘENOSIL. DNS Traffic Analysis for Malicious Domains Detection. In Proceedings of International Conference on Signal Processing and Integrated networks. Noida, India: IEEE Xplore Digital Library, 2015, p. 613-618. ISBN 978-1-4799-5991-4. Available from: https://dx.doi.org/10.1109/SPIN.2015.7095337.
Other formats:   BibTeX LaTeX RIS
Basic information
Original name DNS Traffic Analysis for Malicious Domains Detection
Name in Czech Analýza DNS provozu pro detekci škodlivých domén
Authors GHAFIR, Ibrahim (760 Syrian Arab Republic, guarantor, belonging to the institution) and Václav PŘENOSIL (203 Czech Republic, belonging to the institution).
Edition Noida, India, Proceedings of International Conference on Signal Processing and Integrated networks, p. 613-618, 6 pp. 2015.
Publisher IEEE Xplore Digital Library
Other information
Original language English
Type of outcome Proceedings paper
Field of Study 10201 Computer sciences, information science, bioinformatics
Country of publisher United States of America
Confidentiality degree is not subject to a state or trade secret
Publication form printed version "print"
WWW URL
RIV identification code RIV/00216224:14330/15:00080504
Organization unit Faculty of Informatics
ISBN 978-1-4799-5991-4
Doi http://dx.doi.org/10.1109/SPIN.2015.7095337
Keywords (in Czech) Kybernetické útoky; botnet; škodlivá doména; malware; systém pro odhalení průniků Detection System
Keywords in English Cyber attacks; botnet; malicious domain; malware; intrusion detection system
Tags firank_B
Tags International impact, Reviewed
Changed by Changed by: Ibrahim Ghafir, Ph.D., učo 417762. Changed: 14/9/2018 11:55.
Abstract
The web has become the medium of choice for people to search for information, conduct business, and enjoy entertainment. At the same time, the web has also become the primary platform used by miscreants to attack users. For example, drive-by-download attacks, which could be through malicious domains, are a popular choice among bot herders to grow their botnets. In this paper we present our methodology for detecting any connection to malicious domain. Our detection method is based on a blacklist of malicious domains. We process the network traffic, particularly DNS traffic. We analyze all DNS requests and match the query with the blacklist. The blacklist of malicious domains is updated automatically and the detection is in the real time. We applied our methodology on a packet capture (pcap) file which contains traffic to malicious domains and we proved that our methodology can successfully detect the connections to malicious domains. We also applied our methodology on campus live traffic and showed that it can detect malicious domain connections in the real time.
Abstract (in Czech)
Web se stal rozšířeným médiem pro vyhledávání informací, podnikání zábavu. Zároveň se web stal primární platformou podvodníků pro útoky na uživatele. Například tzv "drive-by-download" útoky, které mohou být šířeny prostřednictvím škodlivých domén, jsou oblíbenou metodou šíření botnetů. V tomto článku je prezentována metodika pro zjištění jakékoliv spojení se škodlivou doménou. Navržená metoda detekce je založen na černé listině škodlivých domén. Zpracováváme síťový provoz, zejména DNS provoz. Analyzujeme všechny požadavky DNS a detekujeme každý dotaz na černou listinu. Černá listina škodlivých domén se automaticky aktualizuje a tím umožňuje detekci v reálném čase. Navržená metodika byla testována na tzv "packet capture - pcap" souborech, které obsahují informace o provozu škodlivých domén a dokázali jsme, že naše metodologie může úspěšně detekovat připojení k škodlivým doménám. Navržená metoda byla aplikována živém provozu na akademické půdě a ukázala, že je schopna detekovat připojení na škodlivé domény v reálném čase.
Links
OFMASUN201301, research and development projectName: CIRC - Mobilní dedikované zařízení pro naplňování schopností reakce na počítačové incidenty
PrintDisplayed: 15/5/2024 16:29