МЕТОД ТА ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ ВИЯВЛЕННЯ ШКІДЛИВИХ ЗАПИТІВ В КОМП’ЮТЕРНИХ МЕРЕЖАХ НА ОСНОВІ ПРОТОКОЛУ DNS
METHOD AND SOFTWARE FOR MALICIOUS QUERIES DETECTION IN THE NETWORKS BASED ON THE DNS PROTOCOL
Сторінки: 173-179. Номер: №3, 2019 (273)
Автори:
С.М. ЛИСЕНКО, В.О. ЛІСОВИЙ
Хмельницький національний університет
S. LYSENKO, V. LISOVYI
Khmelnytskyi National University
DOI: https://www.doi.org/10.31891/2307-5732-2019-273-3-173-179
Рецензія/Peer review : 06.05.2019 р.
Надрукована/Printed : 01.06.2019 р.
Анотація мовою оригіналу
В роботі представлено метод, спрямований на виявлення і блокування доменів, які запитуються в потоковому трафіку DNS і використовуються для зловмисного видалення даних DNS. Згідно з методом потоковий трафік DNS збирається і перетворюється на вектори відповідності доменів. Після цього попередньо навчений класифікатор класу використовується для виявлення доменів, які обмінюються даними через DNS. Одразу після цього запити на домени, які класифікуються як такі, що використовуються для обміну даними, блокуються на невизначений час. Метод дозволяє його реалізацію в DNS-серверах, якщо вони підтримують протоколювання DNS-трафіку і чорного списку доменів. Описаний метод дає можливість виявляти шкідливі потоки пакетів даних серед звичайних, а постійний моніторинг визначених шкідливих потоків дає можливість виявити зловмисника та дозволяє ізолювати звичайний мережевий потік даних від шкідливого.
Ключові слова: DNS протокол, DoS-атака, кіберзагроза, кібератака, виявлення кібератак, мережний трафік.
Розширена анотація англійською мовою
Today’s network attacks are one of the most dangerous cyber threats, as well as one of the main sources of illegal earnings on the Internet. Most often, such attacks are carried out by botnets and used for DDoS attacks (distributed attacks such as “denial of service”), collecting confidential information, sending spam, using adware, phishing, clicking clicks (click traffic), creating spam searches, the use of infected computers for storing illegal material (pirated software, etc.) and as proxies for anonymizing access to the Internet. Antivirus software using signature-based technologies cannot normally detect harmful zero-day software, since such new signatures are not available for newly created malware. An analysis of known methods to combat cyberattacks shows their lack of efficiency, so building a new method for detecting cyber-threats is an extremely urgent task. The article presents a new method for detecting DNS-attack type. Article proposes a method for detecting and blocking domains that are requested in DNS streaming traffic and used to maliciously delete DNS data. According to the method, DNS traffic is collected and converted into domain matching vectors. After that, a pre-trained classifier class is used to identify domains that exchange data through DNS. Immediately thereafter, queries for domains that are classified as used for data exchange are blocked indefinitely. The method allows its implementation on DNS servers if they support DNS traffic logging and the blacklist of domains. The described method makes it possible to detect harmful streams of data packets among ordinary, and continuous monitoring of certain malicious flows makes it possible to detect an attacker and allows to isolate the usual network data stream from the harmful one.
Keywords: DNS protocol, DNS tunnelling, DoS-attack, cyberattack, cyberattacks detection, network traffic.
References
- EXPOSURE: Finding Malicious Domains Using Passive DNS Analysis. Bilge, L., Kirda, E., Kruegel, C., Balduzzi. M.: NDSS, 2017. Р. 1–17.
- Quantitatively analyzing stealthy communication channels. Butler, P. Xu, K., Yao, D.: Proc. Ninth Int’l Conf. Applied Cryptography and Network Security, 2016. Р. 238–254.
- Botnet Communication Topologies. Understanding the intricacies of botnet command-and-control. Retrieved from https://www.damballa.com/downloads/r_pubs/ WP_Botnet_Communications_ Primer.pdf
- The Federal Bureau of Investigation. Demarest, J. (2017). Statement Before the Senate Judiciary Committee, Subcommittee on Crime and Terrorism, Washington, D.C. Retrieved from http://www.fbi.gov/news/testimony/taking-down-botnets.
- On Botnets that use DNS for Command and Control. Dietrich, C.J., Rossow, C., Freiling, F. C., Bos, H., van Steen, M., Pohlmann, N.: In: Proceedings of European Conference on Computer Network Defense, 2016. Р. 9–16.
- Detecting DNS Tunneling. Farnham, G., Atlasis, A.: SANS Institute InfoSec Reading Room, 2013. Р. 1–32.
- A comparison of distance-based semi-supervised fuzzy c-means clustering algorithms. Lai, D.T.C., Garibaldi, J.M.: Fuzzy Systems (FUZZ), In IEEE International Conference, 2015. Р. 1580–1586.
- As the Net Churns: Fast-Flux Botnet Observations. Nazario, J., Holz, T.: In: Conference on Malicious and Unwanted Software (Malware’08), 2008. Р. 24–31.
- Schiller, C. Botnets: The Killer Web Application. Craig Schiller, James R. Binkley. Syngress Publishing, 2012. 464 р.
- Winning with DNS failures: Strategies for faster botnet detection. Yadav, S., Reddy, A.L.N.: In: Proc. of the 7th International ICST Conference on Security and Privacy in Communication Networks, 2011.
- Matherw, V. Katkar. Survey of Low Rate DoS Attack Detection Mechanisms. International Conference and Workshop on Emerging Trends in Technology (ICWET 2011) – TCET, Mumbai, India. P. 955–958.
- Zhang Sheng, Zhang Qifei, Pan Xuezeng, Zhu Xuhui. Detection of Low-rate DDoS-Attack Based on Self-Similarity. 2010 Second International Workshop on Education Technology and Computer Science. P. 333–336.
- Junhan Park, Keisuke Iwai, Hidema Tanaka and Takakazu Kurokawa. Analysis of Slow Read DoS attack. ISITA2014, Melbourne, Australlia, October 26–29, 2014. P. 60–64.
- Buczak, P. A. Hanke, G. J. Cancro, M. K. Toma, L. A. Watkins,and J. S. Chavis, “Detection of tunnels in pcap data by random forests,” in Proceedings of the 11th Annual Cyber and Information SecurityResearch Conference. ACM, 2016, p. 16.
- Alexey Shulmin S. Y. (2017) Use of dns tunneling for cnc communications. Retrieved from https://securelist.com/use-of-dns-tunneling-for-cccommunications/78203/.
- P. Security. (2016) What is multigrain? learnwhat makes this pos malware different. Retrieved from https://www.pandasecurity.com/mediacenter/malware/multigrainmalwarepos/.