Методи виявлення бот-мереж в комп’ютерних системах

Об’єкт. Процес виявлення бот-мереж у корпоративних мережах на основі аналізу мережевого трафіка та поведінки програмного забезпечеення комп’ютерних системах. Предмет. Методи виявлення бот-мереж в комп’ютерних системах. Мета. Підвищення достовірності виявлення бот-мереж шляхом розроблення методів їх виявлення бот-мереж в корпоративних мережах. Результати. Запропоновано новий підхід до виявлення бот-мереж в корпоративних мережахна основі аналізу поведінки ботів. Виявлення бот-мереж здійснюється шляхом застосування розроблених двох методів: за допомогою аналізу на мережному рівні та на хостовому рівні. Перший метод дозволяє аналізувати поведінку програмного забезпечення на хості, що може вказувати на можливу присутність бота безпосередньо на хості і виявлення шкідливого програмного забезпечення, тоді як другий метод включає в себе моніторинг і аналіз DNS-трафіка, що також дозволяє зробити висновок про інфікування мережних хостів ботами бот-мережі. На основі запропонованих методів було розроблено ефективний інструмент виявлення бот-мереж - BotGRABBER. Він здатний виявляти боти, які використовують такі методи ухилення від виявлення як періодична зміна IP-відображення (cycling of IP mapping), «потік доменів» (domain flux), « швидкозмінні» мережі (fast flux) та DNS-тунелювання (DNS tunneling). Висновки. Використання розробленої системи дозволяє виявляти інфіковані ботами бот-мереж хости і локалізувати шкідливі програми з високою ефективністю – до 96%, а також демонструє низькі помилкові спрацьовування –на рівні 3-5%. Особливість запропонованого підходу полягає в тому, що виявлення бот-мереж є «невидимим» для власників бот-мереж.
Object. The process ofthebotnets detection in the corporate area networks based on network traffic analysis and on the of computer systems software’s behavior. Subject. Methods for botnets detection in computer systems. Goal. Increasing of the botnet detection efficiency by developing new methods forits detection in the corporate networks. Results. A new approach for the botnet detection in the corporate area networks based on the analysis of the bots’ behavior is proposed. The detection of botnets is accomplished by applying the developed two methods: by means of network-level and host-level analysis. The first method allows you to analyze the behavior of the software on the host, which may indicate the possible presence of the bot directly on the host and the detection of malicious software, while the second method involves monitoring and analysis of DNS traffic, which also allows to make a conclusion about infection ofnetwork hosts withbotnets. Based on the proposed methods, an effective tool for botnet detection - BotGRABBER - was developed. It is capable of detecting bots that use such evasion methods as IP mapping, fastflux, domain flux, and DNS tunneling. Conclusions. The usage of the developed system allows to detect the hosts infected with botnet and localize malware with high efficiency - up to 96%, and also shows low rate of false positives 3-5%. A feature of the proposed approach is that the detection of botnets is "invisible" to botnet owners.

Ключові слова

шкідливе програмне забезпечення, штучні імунні системи, детектори, malware, artificial immune systems, detectors

Бібліографічний опис

Лисенко С. М. Методи виявлення бот-мереж в комп’ютерних системах / С. М.Лисенко, К. Ю.Бобровнікова, В. С.Харченко // Сучасні інформаційні системи = Advanced Information Systems. – 2019. – Т. 3, № 4. – С. 87-95.

URI

https://repository.kpi.kharkov.ua/handle/KhPI-Press/43611

Зібрання

Кафедра "Комп'ютерна інженерія та програмування"

Повна інформація про документ
Google Scholar

Методи виявлення бот-мереж в комп’ютерних системах

Файли

Дата

Автори

ORCID

DOI

Науковий ступінь

Рівень дисертації

Шифр та назва спеціальності

Рада захисту

Установа захисту

Науковий керівник

Члени комітету

Видавець

Анотація

Опис

Ключові слова

Бібліографічний опис

URI

Зібрання