Improving of the security of intrusion detection system

Komar, Myroslav; Kochan, Volodymyr; Sachenko, Anatoliy; Ababii, Victor

doi:10.1109/daas.2016.7492594

Cited by 8 publications

(2 citation statements)

References 15 publications

Supporting

Mentioning

Contrasting

Unclassified

Order By: Relevance

“…Власники ботмереж використовують різні технології для розробки, контролю, підтримки і приховування їх C&Cінфраструктури. Основними труднощами виявлення бот-мереж є те, що вони використовують такі технології, як P2P [1] та методи ухилення від виявлення, зокрема такі як періодична зміна IP-відображення, «потік доменів», «швидкозмінні» мережі та DNS-тунелювання. Ці технології підвищують резильєнтність бот-мереж стосовно дій, спрямованих на їх знешкодження.…”

Section: вступunclassified

“…З метою виявлення ботів бот-мереж на хостах ми повинні дослідити їх ознаки і побудувати їх поведінкову модель. Розроблена поведінкова модель враховує онаки бота і формалізує його процес функціонування на хості протягом життєвого циклу, який включає в себе п'ять етапів: (1)…”

Section: метод виявлення бот-мереж на основіunclassified

See 1 more Smart Citation

Methods for detecting bot nets in computer systems

Lysenko¹,

Bobrovnikova²,

Kharchenko³

2019

A.I.S.

View full text Add to dashboard Cite

МЕТОДИ ВИЯВЛЕННЯ БОТ-МЕРЕЖ В КОМП'ЮТЕРНИХ СИСТЕМАХ Ан от а ц і я. Об'єкт. Процес виявлення бот-мереж у корпоративних мережах на основі аналізу мережевого трафіка та поведінки програмного забезпечеення комп'ютерних системах. Предмет. Методи виявлення бот-мереж в комп'ютерних системах. Мета. Підвищення достовірності виявлення бот-мереж шляхом розроблення методів їх виявлення бот-мереж в корпоративних мережах. Результати. Запропоновано новий підхід до виявлення бот-мереж в корпоративних мережах на основі аналізу поведінки ботів. Виявлення бот-мереж здійснюється шляхом застосування розроблених двох методів: за допомогою аналізу на мережному рівні та на хостовому рівні. Перший метод дозволяє аналізувати поведінку програмного забезпечення на хості, що може вказувати на можливу присутність бота безпосередньо на хості і виявлення шкідливого програмного забезпечення, тоді як другий метод включає в себе моніторинг і аналіз DNS-трафіка, що також дозволяє зробити висновок про інфікування мережних хостів ботами бот-мережі. На основі запропонованих методів було розроблено ефективний інструмент виявлення бот-мереж-BotGRABBER. Він здатний виявляти боти, які використовують такі методи ухилення від виявлення як періодична зміна IP-відображення (cycling of IP mapping), «потік доменів» (domain flux), «швидкозмінні» мережі (fast flux) та DNS-тунелювання (DNS tunneling). Висновки. Використання розробленої системи дозволяє виявляти інфіковані ботами бот-мереж хости і локалізувати шкідливі програми з високою ефективністю-до 96%, а також демонструє низькі помилкові спрацьовування-на рівні 3-5%. Особливість запропонованого підходу полягає в тому, що виявлення бот-мереж є «невидимим» для власників бот-мереж. К лю чов і с лов а : бот; бот-мережа; DNS-трафік; методи ухилення від виявлення бот-мереж; шкідливе програмне забезпечення; штучні імунні системи; детектори; позитивний алгоритм відбору

show abstract

Section: вступunclassified

Section: метод виявлення бот-мереж на основіunclassified