通过DNS流量分析识别和描述可疑行为

Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014) Pub Date : 2014-11-03 DOI:10.5753/sbseg.2014.20129

Kaio R. S. Barbosa, Eduardo Souto, Eduardo L. Feitosa, G. B. Martins

{"title":"通过DNS流量分析识别和描述可疑行为","authors":"Kaio R. S. Barbosa, Eduardo Souto, Eduardo L. Feitosa, G. B. Martins","doi":"10.5753/sbseg.2014.20129","DOIUrl":null,"url":null,"abstract":"O Sistema de Nomes de Domínios (DNS) fornece mecanismos para traduzir os nomes de domínios em endereços IP. Este serviço é usado tanto por usuários legítimos quanto aplicações suspeitas que podem solicitar endereços dos servidores de email antes de enviar spam. Este trabalho apresenta uma metodologia que utiliza teoria dos grafos para distinguir padrões entre consultas legítimas e maliciosas no tráfego. As resoluções de nomes são modeladas em um grafo que ilustra o padrão de comunicação entre hosts e como as consultas foram realizadas. Para validação da proposta, o tráfego DNS do domínio .br é investigado. Os resultados mostram uma redução de 35% do total de hosts a serem analisados e a presença de comportamentos suspeitos.","PeriodicalId":146489,"journal":{"name":"Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014)","volume":"12 1","pages":"0"},"PeriodicalIF":0.0000,"publicationDate":"2014-11-03","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":"0","resultStr":"{\"title\":\"Identificação e Caracterização de Comportamentos Suspeitos Através da Análise do Tráfego DNS\",\"authors\":\"Kaio R. S. Barbosa, Eduardo Souto, Eduardo L. Feitosa, G. B. Martins\",\"doi\":\"10.5753/sbseg.2014.20129\",\"DOIUrl\":null,\"url\":null,\"abstract\":\"O Sistema de Nomes de Domínios (DNS) fornece mecanismos para traduzir os nomes de domínios em endereços IP. Este serviço é usado tanto por usuários legítimos quanto aplicações suspeitas que podem solicitar endereços dos servidores de email antes de enviar spam. Este trabalho apresenta uma metodologia que utiliza teoria dos grafos para distinguir padrões entre consultas legítimas e maliciosas no tráfego. As resoluções de nomes são modeladas em um grafo que ilustra o padrão de comunicação entre hosts e como as consultas foram realizadas. Para validação da proposta, o tráfego DNS do domínio .br é investigado. Os resultados mostram uma redução de 35% do total de hosts a serem analisados e a presença de comportamentos suspeitos.\",\"PeriodicalId\":146489,\"journal\":{\"name\":\"Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014)\",\"volume\":\"12 1\",\"pages\":\"0\"},\"PeriodicalIF\":0.0000,\"publicationDate\":\"2014-11-03\",\"publicationTypes\":\"Journal Article\",\"fieldsOfStudy\":null,\"isOpenAccess\":false,\"openAccessPdf\":\"\",\"citationCount\":\"0\",\"resultStr\":null,\"platform\":\"Semanticscholar\",\"paperid\":null,\"PeriodicalName\":\"Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014)\",\"FirstCategoryId\":\"1085\",\"ListUrlMain\":\"https://doi.org/10.5753/sbseg.2014.20129\",\"RegionNum\":0,\"RegionCategory\":null,\"ArticlePicture\":[],\"TitleCN\":null,\"AbstractTextCN\":null,\"PMCID\":null,\"EPubDate\":\"\",\"PubModel\":\"\",\"JCR\":\"\",\"JCRName\":\"\",\"Score\":null,\"Total\":0}","platform":"Semanticscholar","paperid":null,"PeriodicalName":"Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014)","FirstCategoryId":"1085","ListUrlMain":"https://doi.org/10.5753/sbseg.2014.20129","RegionNum":0,"RegionCategory":null,"ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":null,"EPubDate":"","PubModel":"","JCR":"","JCRName":"","Score":null,"Total":0}

引用次数: 0

摘要

域名系统(DNS)提供了将域名转换为IP地址的机制。合法用户和可疑应用程序都使用这项服务，它们可能在发送垃圾邮件之前从电子邮件服务器请求地址。本文提出了一种利用图论区分合法和恶意流量查询模式的方法。名称解析在一个图中建模，该图说明了主机之间的通信模式以及如何执行查询。为了验证该建议，对。br域的DNS流量进行了调查。结果显示，被分析的主机总数减少了35%，并且存在可疑行为。

本文章由计算机程序翻译，如有差异，请以英文原文为准。

查看原文本刊更多论文

Identificação e Caracterização de Comportamentos Suspeitos Através da Análise do Tráfego DNS

O Sistema de Nomes de Domínios (DNS) fornece mecanismos para traduzir os nomes de domínios em endereços IP. Este serviço é usado tanto por usuários legítimos quanto aplicações suspeitas que podem solicitar endereços dos servidores de email antes de enviar spam. Este trabalho apresenta uma metodologia que utiliza teoria dos grafos para distinguir padrões entre consultas legítimas e maliciosas no tráfego. As resoluções de nomes são modeladas em um grafo que ilustra o padrão de comunicação entre hosts e como as consultas foram realizadas. Para validação da proposta, o tráfego DNS do domínio .br é investigado. Os resultados mostram uma redução de 35% do total de hosts a serem analisados e a presença de comportamentos suspeitos.

求助全文

通过发布文献求助，成功后即可免费获取论文全文。去求助

来源期刊

Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014)

自引率

0.00%

发文量