Надіслати статтю
вул. Інститутська 11, м. Хмельницький, 29016

МЕТОД ТА ЗАСОБИ ІДЕНТИФІКАЦІЇ БОТ-МЕРЕЖ, ЩО ВИКОРИСТОВУЮТЬ ТЕХНОЛОГІЮ «ДИНАМІЧНА ПЕРЕАДРЕСАЦІЯ ІР-АДРЕС»

METHOD AND SOFTWARE OF FAST-FLUX BOTNET DETECTION

Сторінки: 94-100. Номер: №2, 2020 (283)

Автори:
С.М. ЛИСЕНКО, Є.С. БУРДАШ
Хмельницький національний університет
LYSENKO, Y. BURDASH
Khmelnytskyi National University
DOI: https://www.doi.org/10.31891/2307-5732-2020-283-2-94-100

Рецензія/Peer review : 25.4.2020 р.
Надрукована/Printed : 16.6.2020 р.

Анотація мовою оригіналу

В роботі представлено метод, що використовує технологію динамічної “переадресації ІР-адресів”. Даний метод зосереджений на виявленні бот-мережі, за допомогою сканування DNS трафіку та отримання його ознак. За допомогою алгоритму машинного навчання SVDD виконується виявлення аномалій у заданих ознаках та співставлення їх з відповідними умовами, які свідчать про наявність інфікованого ботнету у даному DNS трафіку. Цей метод дає змогу виявляти шкідливі бот-мережі із високою ефективністю та швидкістю. Цей метод може стати основою для програмного забезпечення виявлення бот-мереж, які використовують технологію “динамічна переадресація ІР-адрес”.
Ключові слова: бот-мережа, DNS, SVDD, машинне навчання.

Розширена анотація англійською мовою

Fast flux is a method that a criminal can use to prevent the identification of the IP address of his or her own computer. The main idea of this paper is to create a method for fast-flux botnet detection based on the SVDD(support vector data description) machine learning and anomalies detection algorithm that achieves better performance and efficiency. Using this method gives an opportunity to easily detect malware in botnets and notify the user about that. It makes possible to save and protect user’s private data.  We focus on detection fast-flux botnets based on the scanning Domain name system (DNS). The method has a unique structure and can be extended with new parameters in the future. The method collects all received data and extracts only useful parameters from each DNS message and transforms this data into valid and understandable for the algorithm. In this article represented a method which uses anomalies detection approach. SVDD algorithms it is a powerful tool that allows us to identify malware botnet in the system in the earlier stages before they occur and infect the system. Using the SVDD algorithm can improve the detection of the botnets based on the fast-flux approach. To provide the most efficient machine learning algorithm it should be trained by the special data. In this case, the system provides the highest level of accuracy and low level of the fault.  This algorithm can detect the anomalies that were unknown in the training step, it can increase number of the botnets if the future. The proposed methods and algorithm was tested on the implemented locally system and showed a good result of detection fast-flux botnet. The level of accuracy showed 97.8%.
Keywords: fast-flux, malware, SVDD, DNS. machine learning, anomalies detection.

References

  1. Botnet URL: https://en.wikipedia.org/wiki/Botnet. (date 21.03.20)
  2. Domain name system Wikipedia. URL: https://en.wikipedia.org/wiki/Domain_Name_System (date03.20)
  3. Botnet scams are exploding Google Scholar. URL: http://www.contentagenda.com/articleXml/LN760999245.html?industryid=45177 (date03.20)
  4. Detect Fast-Flux Domains Through Response Time Differences IEEE Xplore. URL: https://ieeexplore.ieee.org/abstract/document/6905768 (date03.20)
  5. Chahal P. S., and Khurana S. S. TempR: Application of Stricture Dependent Intelligent Classifier for Fast Flux Domain Detection, International Journal of Computer Network & Information Security, vol. 8, 10.11.2016
  6. Celik Z. B., and Oktug S. Detection of fast-flux networks using various dns feature sets. p. 868–
  7. Nafarieh Z., Mahdipur E., Haj Seyed Javadi H. (2019). Detecting Active Bot Networks Based on DNS Traffic Analysis. Journal of Advances in Computer Engineering and Technology, 5(3), 129–
  8. Learning to link human objects in video and advertisements with clothes retrieval. IEEE Xplore. URL: https://ieeexplore.ieee.org/abstract/document/7727859/ (date03.20)
  9. Alieyan K., ALmomani A., Manasrah A., and Kadhum M. M. A survey of botnet detection based on DNS’, Neural Comput. Appl., vol. 28, no. 7, p. 1541–1558, 2017.
  10. Vapnik V.N. Statictical learning theory. Wiley, 1998, 740 p.
  11. Manolakis D., Marden D., Shaw G., Hyperspectral image processing for automatic target detection applications, Lincoln Lab. J., vol. 14, no. 1, pp. 79–114, 2003.
  12. Tax D.M., Duin R.P. Support Vector Data Description. Machine Learning 54, 45–66 (2004). https://doi.org/10.1023/B:MACH.0000008084.60811.49
  13. Ruirui J., Ding L., Min W., Liu J. The application of SVDD in gene expression data clustering,  Int. Conf. Bioinformat. Biomed. Eng., pp. 371–374, 2008.
  14. Malware Domain Blocklist  DNS-BH – Malware Domain Blocklist by RiskAnalytics. URL: https://www.malwaredomains.com/ (date03.20)

 

Post Author: npetliaks

Translate