基于DNS特征的僵尸网络攻击检测 论文翻译

最新推荐文章于 2024-07-10 02:15:53 发布
最新推荐文章于 2024-07-10 02:15:53 发布
阅读量1.2k 收藏 5
点赞数 1
分类专栏: 网络特征 文章标签: 网络 安全 web安全 DNS Botnet
原文链接:https://ieeexplore.ieee.org/document/8672582
版权

Botnets Detecting Attack based on DNS Features 2018 ACIT

在这里插入图片描述

摘要

僵尸网络被认为是一个威胁网络安全的严重问题。这是网络犯罪分子用来进行非法活动的一种手段。这些活动可能包括点击欺诈和DDoS攻击。本文旨在提出一种新的滤波方法“枪手系统”。上述方法涉及用于检测僵尸网络的基于规则的域名系统(DNS)特性。通过这种方法,研究人员期望提高基于DNS的僵尸网络检测的准确性。

关键词:Botnet, Domain Name System (DNS), Botnet Filtering, Features based, Rule-based

一、介绍

僵尸网络是一种常用于感染计算机的软件程序。它通常被称为(机器人),通常用于实现恶意目标。僵尸运行为用于执行特定的自动化任务而开发的小脚本。一个攻击者或多个攻击者可以控制一个僵尸。这种攻击者被称为“僵尸大师”。根据McAfee实验室发布的统计数据,2014年最后一个季度发现了5000万件新的恶意软件。此外,80%的互联网流量是与垃圾邮件(SPAM emails)相关的僵尸网络流量。这些电子邮件来自于僵尸网络,比如:Rustock Cutwail和 Grum。如今,一个大规模僵尸网络可能由100万台发起网络攻击的电脑组成。

本研究的意义在于开发一种采用特征选择机制的方法。这种方法用于认出基于DNS的僵尸网络,并根据它们的特征来检测出僵尸网络。枪手系统的方法被认为比以前的任何其他方法都更准确。

本研究分为4个部分。第一部分是对本研究的介绍,第二部分是对相关文献的综述。第三部分介绍了教学方法 最后,第四部分给出了论文的结论。

二、相关文献综述

回顾几种用于检测基于DNS的僵尸网络的方法。这些方法有不同的类型,如下所示:
A. 基于dns的异常僵尸网络检测方法
这些方法旨在通过对网络流量进行分析来检测僵尸网络。它用于检测任何异常行为,如高网络延迟或突然出现的大量流量。这些行为表明在网络中存在着机器人。
B.基于主机的异常检测方法
在该类型的方法中,在每台计算机上执行分析和监控操作。它们被用于检测任何恶意活动。这是通过监控系统进程和评估对系统调用和内核级例程的访问来实现。
C. 主动监控方法
在这种方法下,特殊制作的数据包被合并到一个受监控的网络中。这样做是为了刺激网络的响应。之后,这些响应将被捕获和分析。这个过程的目的是检测任何可以表明存在恶意软件的证据。BotProbe, Strayer从垃圾软件中提取URL特征。
D.被动监测方法
这些方法最早是由Weimer提出的。他的方法旨在通过传感器检测服务器间的DNS消息。它还旨在将这些消息转发到一个特定的收集点,以便分析它们。

不幸的是,C&C方法的最近趋向于使用DNS服务器作为有效负载的瞬时存储。快速通量和DGAs方法可用于逃避僵尸网络的检测。Kwon[14]引入了一种被称为(PsyBoG)的方法,它被认为是快速和可扩展的。它可以检测由DNS流量导致的任何恶意行为。通过功率谱密度分析,检测了僵尸网络的周期性DNS查询的结果。它们也可以通过使用信号处理方法进行检测。各种DNS流量都是通过使用请求的IP地址和时间戳来存储的。这个过程的目的是确定一个主机的周期性。

因此,通过选择正确的特征,可以提高检测方法的性能水平。因此,所选特征的质量、优化和类型显著影响了检测系统的准确性。这些事情必须得到极大的关注。在下一节中,研究人员将介绍通过使用不同的算法来选择最有效的特征的方法。

三、建议的方法(枪手系统)
本部分说明了提出的方法的结构。该方法用于检测基于dns的僵尸网络的存在。这种检测是基于DNS响应和查询的异常行为进行的。这种方法包括三个阶段。这些阶段如图1所示。

图1
图1
A. 数据集预处理(第一步)
在这一阶段,研究人员的目标是将捕获的网络流量过滤成一种有意义的格式。此外,该阶段还包括另一个数据清理的过程。在这一阶段,研究人员旨在检测和消除数据集中存在的所有错误。它们还旨在丢弃出现在数据集中的冲突实例。除了数据预处理外,有助于产生更准确的结果。

B. DNS特征选择(第二阶段)
一般来说,本研究的问题是利用该方法检测基于dns的僵尸网络。该方法的目标是提取一个适当和有效的特征子集,这将对所提出的方法的准确性水平有积极影响。本阶段的目的是从基本特征中提取最重要的特征集。

C. 基于IGR的特征排名
有几种算法可以用于选择和测量检测特征的有效性。这些算法可能包括:PCA、IGR和卡方统计数据。IGR算法被认为是最常用的算法。它被用于测量和排序特征的有效性。

D. 特征排序PCA(主成分分析)的选择
主成分分析是指一种用于将相关变量转化为一组新的不相关变量的数学技术。主成分分析是一种常用的特征选择方法

E.特征交叉
采用特征交叉法减少了相关特征的数量,而不负面影响该方法的准确性。它选择了可用于检测基于dns的僵尸网络的最有效的特征,如图2所示。因此,在该方法中,应用基本特征的交叉后,得到了9个特征,如图3所示。
在这里插入图片描述
在这里插入图片描述
F. 基于DNS的僵尸网络检测(第三阶段):
在目前的阶段,研究人员旨在检测僵尸网络。这是通过分析DNS流量的行为来实现的。当僵尸网络采用几种技术来逃避安全方法时,这种分析将变得更加具挑战性。这些技术可能包括:点对点(P2P)和快速通量技术。本阶段旨在以更准确的方式检测DNS响应和查询的任何异常行为。这个检测过程是通过使用一组新特征来完成的。

四、结论

所提出的方法是通过三个主要阶段发展起来的。第一阶段是预处理阶段,其目的是根据DNS来过滤传入的数据包。它还旨在DNS数据集中提取波普特征。第二个阶段称为DNS特征提取。它旨在利用特征提取算法、PCA和IGR,提取在基于dns的僵尸网络检测中发挥重要作用的特征。这两种算法所选择的特征被认为是最有效的特征。这些高效的特征已被用作下一阶段用于检测基于dns的僵尸网络行为的输入。最后,检测基于DNS僵尸网络的两种行为。第一个行为是异常的DNS查询,第二个行为是异常DNS响应。执行任何行为的IP源都应被视为僵尸网络的一部分。

夏荷影
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于DGA的DNS流量僵尸网络检测1
08-03
DGA-Based Botnet Detection Using DNS TrafficYong-lin Zhou1, Qing-shan Li2, Qidi
基于流量的僵尸网络检测方法研究
11-24
基于流量的僵尸网络检测方法
僵尸网络原理及检测.doc
06-04
 Botnet是随着自动智能程序的应用而逐渐发展起来的。在早期的 IRC聊天网络中,有一些服务是重复出现的,如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。于是在1993 年,在IRC 聊天网络中出现了Bot工具——Eggdrop,这是第一个Bot程序,能够帮助用户方便地使用IRC 聊天网络
论文研究-基于DNS流量的僵尸网络域名检测特征分析 .pdf
08-16
基于DNS流量的僵尸网络域名检测特征分析,周威,袁春阳,基于DNS流量的僵尸网络域名检测方法一方面可以突破僵尸网络所采用不同协议结构的限制,另一方面由于DNS流量要远远小于网络数据流量
基于通信相似度的僵尸网络节点检测方法
01-20
目前,僵尸网络检测方法大多依靠对僵尸网络通信活动或通信内容的分析,前者对数据流的特征进行统计分析,不涉及数据流中的内容,在检测加密类型方面具有较强优势,但准确性较低;后者依赖先验知识进行检测,具有较强的准确度,但检测的通用性较低。因此,根据杰卡德相似度系数定义了通信相似度,并提出了一种基于用户请求域名系统(DNS,domain name system)的通信相似度计算方法,用于基于网络流量的僵尸网络节点检测。最后,基于Spark框架对所提出的方法进行了实验验证,实验结果表明该方法可以有效地用于僵尸网络节点检测
毕业设计-基于机器学习的恶意域名检测系统
Hai_Lang_IT的博客
03-20 1340
毕业设计-基于机器学习的恶意域名检测系统:僵尸网络广泛采用DGA(Domain Generation Algorithm)技术来逃避网络安全检测, DGA恶意域名的检测工作备受关注。域名系统(Domain Name System)为我国现代网络业务提供了方便,增加了用户的上网体验.与 此同时,域名系统解析也成为僵尸网络发动攻击的重要依托,为了逃避安全设施的检测僵尸网络的攻 击也越来越复杂,其中一个常见的技术就是在僵尸网络中使用DGA域名生成算法,使攻击服务器域名 快速变化.在该方式下,控制服务器与受控机器
僵尸网络检测和抑制方法
哼哼唧唧
11-04 3249
Botnet是随着自动智能程序的应用而逐渐发展起来的。在早期的IRC聊天网络中,有一些服务是重复出现的,如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。于是在1993 年,在IRC聊天网络中出现了Bot工具——Eggdrop,这是第一个Bot程序,能够帮助用户方便地使用IRC 聊天网络。这种bot的功能是良性的,是出于服务的目的,然而这个设计思路却为黑客所利用,他们编写出了带有恶意的Bot工具,开始对大量的受害主机进行控制,利用他们的资源以达到恶意目标。
僵尸网络检测技术:守护网络安全的重要一环
weixin_60914977的博客
09-01 551
该技术通过对网络流量的监控和分析,发现特定的恶意模式,从而及时发现并阻止僵尸网络的攻击行为。本文介绍了僵尸网络检测技术的背景和意义,阐述了其基本原理和方法,并分析了现有技术的优缺点。基于行为分析:通过对网络中各种行为的监控和分析,发现异常的操作或行为模式,例如同一IP地址频繁更换用户名或密码,或者同一用户名在不同IP地址上登录等,从而发现可能的僵尸网络行为。基于流量分析:通过对网络流量的监控和分析,发现异常的流量模式,例如大量来自同一IP地址或同一IP段的数据包,从而发现可能的僵尸网络行为。
​【安全篇 / Web过滤】(5.6) ❀ 01. DNS 过滤僵尸网络 ❀ FortiGate 防火墙
防火墙技术专栏
03-23 4571
【简介】如果启用DNS过滤,必须使用FortiGuard DNS服务进行DNS查找。DNS查找请求发送到FortiGuard DNS服务返回,其中包括IP地址和web网页的FortiGuard分类域名评级。 阻止对已知僵尸网络C&C地址的DNS请求 飞塔防火墙有一个动态更新的僵尸网络C&C地址数据库,当对这些僵尸网络地址进行访问时,DNS过滤会匹配数......
关于僵尸网络和C&C服务器
weixin_46661122的博客
11-29 7199
僵尸网络(简称“机器人网络”)是由感染的计算机网络的恶意软件在一个攻击方的控制之下,被称为“僵尸牧民”。每个在bot-herder控制下的个人机器被称为机器人。从一个中心点来看,攻击方可以命令其僵尸网络上的每台计算机同时执行协调的刑事诉讼。僵尸网络的规模(许多由数百万个僵尸程序组成)使攻击者能够执行以前不可能使用恶意软件的大规模操作。由于僵尸网络仍然受远程攻击者的控制,受感染的计算机可以动态接收更新并更改其行为。因此,僵尸牧民通常能够在黑市上租用他们的僵尸网络段,以获得巨大的经济收益。 DDoS攻击 - 利
基于人工智能的僵尸网络C&C主机检测
04-26
基于人工智能的僵尸网络C&C主机检测,内容丰富,值得学习~
基于DNS 流量分析异常的僵尸网络检测.zip
03-20
总结,这份资料包“基于DNS流量分析异常的僵尸网络检测”旨在提供一套实用的方法来应对网络安全挑战,特别是通过机器学习和深度学习技术来检测DNS流量中的异常行为,从而发现潜在的僵尸网络。对于想要深入研究网络...
基于DNS网络攻击行为监测.docx
09-30
DNS僵尸网络监测是基于DNS网络攻击行为监测的另一个重要组成部分。DNS僵尸网络监测依据僵尸网络的恶意域名与人工生成的合法域名之间的统计特征区分进行量化分析后对两者进行区分。依据各个特征的特点,将以下特征...
僵尸网络检测
Days in School
03-23 946
课程:计算机网络管理初步构想是构建一个蜜网系统,被动捕获和主动感染病毒与木马程序,获取样本后通过对其行为的分析,判断校园网是否存在僵尸网络及其规模。
僵尸网络识别(Botnet detection)
qq_29848559的博客
01-23 1741
僵尸网络识别是网络安全的一个重要课题。重点是要通过构建模型识别出僵尸网络的流量包的特征,进行识别。 项目代码和文章发布于: https://github.com/827983519/Botnet-detection
图算法检测僵尸网络
djph26741的博客
07-28 222
# -*- coding: utf-8 -*- import networkx as nx import matplotlib.pyplot as plt iplist={} goodiplist={} #相似度 N=0.5 #黑客团伙IP最少个数 M=3 #黑客IP攻击目标最小个数 R=2 #jarccard系数 def get_len(d1,d...
僵尸网络的分析
qq_45758325的博客
07-24 955
僵尸网络
常见的DNS攻击类型与应对措施盘点(中科三方)
m0_61869253的博客
08-09 252
DNS解析是互联网中一项非常重要的功能,是用户访问网站的关键环节,我们日常工作生活使用网络都伴随着大量的DNS服务做支撑。DNS将用户容易记忆输入的域名指向可由计算机直接识别的IP地址,是确保用户通过域名访问网站,维持网络空间正常秩序的导航系统。但DNS在设计之初只注重实用性和便捷性,而忽视了安全性,DNS查询过程通常是基于无连接不可靠的UDP协议,这就导致DNS查询过程中验证机制的缺失,黑客很容易利用该漏洞进行攻击。
SRS流媒体源码解析--service
最新发布
weixin_54423699的博客
07-10 442
(1)对线程/协程的API的抽象// 存储线程的句柄// 条件变量// 锁// 获取线程/协程句柄// 条件变量操作// 创建一个新的条件变量实例// 销毁给定的条件变量// 使当前线程等待条件变量cond。线程会释放锁并阻塞,直到其他线程通过srs_cond_signal或srs_cond_broadcast唤醒它// 带超时的等待版本,如果在指定的timeout时间内条件未被满足,则函数会返回。// 唤醒一个等待在条件变量cond上的线程。
基于数据包的网络特征生成方法
05-25
基于数据包的网络特征生成方法可以通过对网络数据包进行分析和处理,提取出不同层次的特征信息,并将其组合成完整的网络特征。下面是一些常用的基于数据包的网络特征生成方法: 1. 基于五元组(5-tuple)的特征提取:利用源IP地址、目的IP地址、源端口、目的端口和传输协议等五元组信息,可以提取出网络流的基本特征,如流量大小、传输速率、流持续时间等。 2. 基于协议头的特征提取:对网络数据包的协议头进行解析,可以提取出协议相关的特征信息,如TCP连接状态、HTTP请求类型、DNS查询类型等。 3. 基于负载内容的特征提取:通过对网络数据包的负载内容进行分析,可以提取出应用层协议相关的特征信息,如关键词、文件类型、编码格式等。 4. 基于流量统计的特征提取:对网络流的流量分布、流量变化趋势等进行统计和分析,可以提取出流量分布特征、流量变化特征等。 5. 基于机器学习的特征提取:通过机器学习算法对网络数据包进行分类和特征选择,可以提取出与网络安全相关的特征信息,如异常流量、恶意流量等。 以上是几种基于数据包的网络特征生成方法,可以根据具体的应用场景和需求选择合适的方法进行特征提取和分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值