GHAFIR, Ibrahim a Václav PŘENOSIL. DNS Traffic Analysis for Malicious Domains Detection. In Proceedings of International Conference on Signal Processing and Integrated networks. Noida, India: IEEE Xplore Digital Library, 2015, s. 613-618. ISBN 978-1-4799-5991-4. Dostupné z: https://dx.doi.org/10.1109/SPIN.2015.7095337.
Další formáty:   BibTeX LaTeX RIS
Základní údaje
Originální název DNS Traffic Analysis for Malicious Domains Detection
Název česky Analýza DNS provozu pro detekci škodlivých domén
Autoři GHAFIR, Ibrahim (760 Sýrie, garant, domácí) a Václav PŘENOSIL (203 Česká republika, domácí).
Vydání Noida, India, Proceedings of International Conference on Signal Processing and Integrated networks, od s. 613-618, 6 s. 2015.
Nakladatel IEEE Xplore Digital Library
Další údaje
Originální jazyk angličtina
Typ výsledku Stať ve sborníku
Obor 10201 Computer sciences, information science, bioinformatics
Stát vydavatele Spojené státy
Utajení není předmětem státního či obchodního tajemství
Forma vydání tištěná verze "print"
WWW URL
Kód RIV RIV/00216224:14330/15:00080504
Organizační jednotka Fakulta informatiky
ISBN 978-1-4799-5991-4
Doi http://dx.doi.org/10.1109/SPIN.2015.7095337
Klíčová slova česky Kybernetické útoky; botnet; škodlivá doména; malware; systém pro odhalení průniků Detection System
Klíčová slova anglicky Cyber attacks; botnet; malicious domain; malware; intrusion detection system
Štítky firank_B
Příznaky Mezinárodní význam, Recenzováno
Změnil Změnil: Ibrahim Ghafir, Ph.D., učo 417762. Změněno: 14. 9. 2018 11:55.
Anotace
The web has become the medium of choice for people to search for information, conduct business, and enjoy entertainment. At the same time, the web has also become the primary platform used by miscreants to attack users. For example, drive-by-download attacks, which could be through malicious domains, are a popular choice among bot herders to grow their botnets. In this paper we present our methodology for detecting any connection to malicious domain. Our detection method is based on a blacklist of malicious domains. We process the network traffic, particularly DNS traffic. We analyze all DNS requests and match the query with the blacklist. The blacklist of malicious domains is updated automatically and the detection is in the real time. We applied our methodology on a packet capture (pcap) file which contains traffic to malicious domains and we proved that our methodology can successfully detect the connections to malicious domains. We also applied our methodology on campus live traffic and showed that it can detect malicious domain connections in the real time.
Anotace česky
Web se stal rozšířeným médiem pro vyhledávání informací, podnikání zábavu. Zároveň se web stal primární platformou podvodníků pro útoky na uživatele. Například tzv "drive-by-download" útoky, které mohou být šířeny prostřednictvím škodlivých domén, jsou oblíbenou metodou šíření botnetů. V tomto článku je prezentována metodika pro zjištění jakékoliv spojení se škodlivou doménou. Navržená metoda detekce je založen na černé listině škodlivých domén. Zpracováváme síťový provoz, zejména DNS provoz. Analyzujeme všechny požadavky DNS a detekujeme každý dotaz na černou listinu. Černá listina škodlivých domén se automaticky aktualizuje a tím umožňuje detekci v reálném čase. Navržená metodika byla testována na tzv "packet capture - pcap" souborech, které obsahují informace o provozu škodlivých domén a dokázali jsme, že naše metodologie může úspěšně detekovat připojení k škodlivým doménám. Navržená metoda byla aplikována živém provozu na akademické půdě a ukázala, že je schopna detekovat připojení na škodlivé domény v reálném čase.
Návaznosti
OFMASUN201301, projekt VaVNázev: CIRC - Mobilní dedikované zařízení pro naplňování schopností reakce na počítačové incidenty
VytisknoutZobrazeno: 24. 4. 2024 21:01