Luiz Gonzaga Mota Barbosa, Joaquim Celestino Júnior, A. D. Santos
{"title":"一种基于废弃DNS流量分析的僵尸网络检测体系结构","authors":"Luiz Gonzaga Mota Barbosa, Joaquim Celestino Júnior, A. D. Santos","doi":"10.5753/sbseg.2017.19500","DOIUrl":null,"url":null,"abstract":"Botnets são uma das principais ameaças na Internet, capazes de auxiliar na realização de atividades maliciosas. Ao infectar um hospedeiro, um bot tenta comunicar-se com o servidor de comando e controle. Neste ponto, bots recentes utilizam Algoritmos de Geração de Domínios para criarem uma lista de nomes de domínio candidatos a servidores de comando e controle. Uma consequência deste comportamtento é o aumento de respostas negativas do protocolo DNS. Esse tráfego, geralmente descartado ou ignorado pelos administradores de rede, pode ser utilizado para modelar o comportamento de uma botnet. Com base no aumento no número de respostas negativas do protocolo DNS e acesso a amostras coletadas em um ambiente controlado, este trabalho apresenta uma arquitetura capaz de gerar modelos de detecção para estes bots. Os experimentos mostraram um nível de acurácia acima de 90% na maioria dos cenários.","PeriodicalId":322419,"journal":{"name":"Anais do XVII Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2017)","volume":"32 1","pages":"0"},"PeriodicalIF":0.0000,"publicationDate":"2017-11-06","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":"0","resultStr":"{\"title\":\"Uma arquitetura para detecção de botnets baseada na análise do tráfego DNS descartado\",\"authors\":\"Luiz Gonzaga Mota Barbosa, Joaquim Celestino Júnior, A. D. Santos\",\"doi\":\"10.5753/sbseg.2017.19500\",\"DOIUrl\":null,\"url\":null,\"abstract\":\"Botnets são uma das principais ameaças na Internet, capazes de auxiliar na realização de atividades maliciosas. Ao infectar um hospedeiro, um bot tenta comunicar-se com o servidor de comando e controle. Neste ponto, bots recentes utilizam Algoritmos de Geração de Domínios para criarem uma lista de nomes de domínio candidatos a servidores de comando e controle. Uma consequência deste comportamtento é o aumento de respostas negativas do protocolo DNS. Esse tráfego, geralmente descartado ou ignorado pelos administradores de rede, pode ser utilizado para modelar o comportamento de uma botnet. Com base no aumento no número de respostas negativas do protocolo DNS e acesso a amostras coletadas em um ambiente controlado, este trabalho apresenta uma arquitetura capaz de gerar modelos de detecção para estes bots. Os experimentos mostraram um nível de acurácia acima de 90% na maioria dos cenários.\",\"PeriodicalId\":322419,\"journal\":{\"name\":\"Anais do XVII Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2017)\",\"volume\":\"32 1\",\"pages\":\"0\"},\"PeriodicalIF\":0.0000,\"publicationDate\":\"2017-11-06\",\"publicationTypes\":\"Journal Article\",\"fieldsOfStudy\":null,\"isOpenAccess\":false,\"openAccessPdf\":\"\",\"citationCount\":\"0\",\"resultStr\":null,\"platform\":\"Semanticscholar\",\"paperid\":null,\"PeriodicalName\":\"Anais do XVII Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2017)\",\"FirstCategoryId\":\"1085\",\"ListUrlMain\":\"https://doi.org/10.5753/sbseg.2017.19500\",\"RegionNum\":0,\"RegionCategory\":null,\"ArticlePicture\":[],\"TitleCN\":null,\"AbstractTextCN\":null,\"PMCID\":null,\"EPubDate\":\"\",\"PubModel\":\"\",\"JCR\":\"\",\"JCRName\":\"\",\"Score\":null,\"Total\":0}","platform":"Semanticscholar","paperid":null,"PeriodicalName":"Anais do XVII Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2017)","FirstCategoryId":"1085","ListUrlMain":"https://doi.org/10.5753/sbseg.2017.19500","RegionNum":0,"RegionCategory":null,"ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":null,"EPubDate":"","PubModel":"","JCR":"","JCRName":"","Score":null,"Total":0}
Uma arquitetura para detecção de botnets baseada na análise do tráfego DNS descartado
Botnets são uma das principais ameaças na Internet, capazes de auxiliar na realização de atividades maliciosas. Ao infectar um hospedeiro, um bot tenta comunicar-se com o servidor de comando e controle. Neste ponto, bots recentes utilizam Algoritmos de Geração de Domínios para criarem uma lista de nomes de domínio candidatos a servidores de comando e controle. Uma consequência deste comportamtento é o aumento de respostas negativas do protocolo DNS. Esse tráfego, geralmente descartado ou ignorado pelos administradores de rede, pode ser utilizado para modelar o comportamento de uma botnet. Com base no aumento no número de respostas negativas do protocolo DNS e acesso a amostras coletadas em um ambiente controlado, este trabalho apresenta uma arquitetura capaz de gerar modelos de detecção para estes bots. Os experimentos mostraram um nível de acurácia acima de 90% na maioria dos cenários.
求助内容:
应助结果提醒方式:
京公网安备 11010802042870号
