Detailed Information on Publication Record
2015
DNS Traffic Analysis for Malicious Domains Detection
GHAFIR, Ibrahim and Václav PŘENOSILBasic information
Original name
DNS Traffic Analysis for Malicious Domains Detection
Name in Czech
Analýza DNS provozu pro detekci škodlivých domén
Authors
GHAFIR, Ibrahim (760 Syrian Arab Republic, guarantor, belonging to the institution) and Václav PŘENOSIL (203 Czech Republic, belonging to the institution)
Edition
Noida, India, Proceedings of International Conference on Signal Processing and Integrated networks, p. 613-618, 6 pp. 2015
Publisher
IEEE Xplore Digital Library
Other information
Language
English
Type of outcome
Stať ve sborníku
Field of Study
10201 Computer sciences, information science, bioinformatics
Country of publisher
United States of America
Confidentiality degree
není předmětem státního či obchodního tajemství
Publication form
printed version "print"
References:
RIV identification code
RIV/00216224:14330/15:00080504
Organization unit
Faculty of Informatics
ISBN
978-1-4799-5991-4
Keywords (in Czech)
Kybernetické útoky; botnet; škodlivá doména; malware; systém pro odhalení průniků Detection System
Keywords in English
Cyber attacks; botnet; malicious domain; malware; intrusion detection system
Tags
Tags
International impact, Reviewed
Změněno: 14/9/2018 11:55, Ibrahim Ghafir, Ph.D.
V originále
The web has become the medium of choice for people to search for information, conduct business, and enjoy entertainment. At the same time, the web has also become the primary platform used by miscreants to attack users. For example, drive-by-download attacks, which could be through malicious domains, are a popular choice among bot herders to grow their botnets. In this paper we present our methodology for detecting any connection to malicious domain. Our detection method is based on a blacklist of malicious domains. We process the network traffic, particularly DNS traffic. We analyze all DNS requests and match the query with the blacklist. The blacklist of malicious domains is updated automatically and the detection is in the real time. We applied our methodology on a packet capture (pcap) file which contains traffic to malicious domains and we proved that our methodology can successfully detect the connections to malicious domains. We also applied our methodology on campus live traffic and showed that it can detect malicious domain connections in the real time.
In Czech
Web se stal rozšířeným médiem pro vyhledávání informací, podnikání zábavu. Zároveň se web stal primární platformou podvodníků pro útoky na uživatele. Například tzv "drive-by-download" útoky, které mohou být šířeny prostřednictvím škodlivých domén, jsou oblíbenou metodou šíření botnetů. V tomto článku je prezentována metodika pro zjištění jakékoliv spojení se škodlivou doménou. Navržená metoda detekce je založen na černé listině škodlivých domén. Zpracováváme síťový provoz, zejména DNS provoz. Analyzujeme všechny požadavky DNS a detekujeme každý dotaz na černou listinu. Černá listina škodlivých domén se automaticky aktualizuje a tím umožňuje detekci v reálném čase. Navržená metodika byla testována na tzv "packet capture - pcap" souborech, které obsahují informace o provozu škodlivých domén a dokázali jsme, že naše metodologie může úspěšně detekovat připojení k škodlivým doménám. Navržená metoda byla aplikována živém provozu na akademické půdě a ukázala, že je schopna detekovat připojení na škodlivé domény v reálném čase.
Links
| OFMASUN201301, research and development project |
|