Please use this identifier to cite or link to this item:
http://elartu.tntu.edu.ua/handle/123456789/18599
Title: | Інформаційна технологія виявлення бот-мереж у корпоративних мережах на основі аналізу DNS-трафіка |
Other Titles: | Информационная технология обнаружения бот -сетей
в корпоративных сетях на основе анализа DNS-трафика The Information technology for botnets detection in corporate area networks based on DNS-traffic analysis |
Authors: | Бобровнікова, Кіра Юліївна Bobrovnikova, K. Y. |
Bibliographic description (Ukraine): | Бобровнікова К. Ю. Інформаційна технологія виявлення бот-мереж у корпоративних мережах на основі аналізу DNS-трафіка [Текст] : дис. на здобуття наук. ступеня канд. техн. наук: спец. 05.13.06 - інформаційні технології / Кіра Юліївна Бобровнікова. – Тернопіль : ТНTУ, 2016. – 237 с. Бобровнікова К. Ю. Інформаційна технологія виявлення бот-мереж у корпоративних мережах на основі аналізу DNS-трафіка [Текст] : автореф. дис. на здобуття наук. ступеня канд. техн. наук: спец. 05.13.06 - інформаційні технології / Кіра Юліївна Бобровнікова. – Тернопіль : ТНTУ, 2017. – 23 с. |
Issue Date: | 2017 |
Date of entry: | 16-Jan-2017 |
Science degree: | кандидат технічних наук |
Level thesis: | кандидатська дисертація |
Code and name of the specialty: | 05.13.06 – інформаційні технології |
Defense council: | спеціалізована вчена рада К58.052.06 |
Institution defense: | Тернопільський національний технічний університет імені Івана Пулюя |
Supervisor: | Савенко, Олег Станіславович |
Committee members: | Крилов, Віктор Миколайович Козак, Руслан Орестович |
UDC: | 004.491.2 |
Keywords: | кібербезпека бот бот-мережа DNS-трафік групова активність технології ухилення від виявлення бот-мереж виявлення бот-мереж корпоративна мережа бот бот-сеть DNS-трафик групповая активность технологии уклонения от обнаружения бот-сетей обнаружение бот-сетей корпоративная сеть bot botnet DNS-traffic group activity botnet`s evasion techniques botnets detection corporate area network |
Abstract: | Дисертація присвячена вирішенню актуальної наукової задачі – створенню інформаційної технології з метою підвищення достовірності та ефективності виявлення бот-мереж в корпоративних мережах на основі аналізу DNS-трафіка.
Проведено огляд та виявлено недоліки роботи інформаційних технологій і програмних засобів виявлення бот-мереж в мережах. Розроблено модель бот-мереж з врахуванням DNS, модель DNS-трафіка та модель процесу виявлення бот-мереж в корпоративних мережах на основі аналізу DNS-трафіка. На базі розроблених моделей побудовано інформаційну технологію виявлення бот-мереж у корпоративних мережах на основі аналізу DNS-трафіка, яка ґрунтується на двох розроблених нових методах виявлення бот-мереж: методу ідентифікації бот-мереж на основі їх групової активності в DNS-трафіку та методу виявлення бот-мереж, які застосовують технології ухилення від виявлення на основі DNS.
Здійснено програмну реалізацію інформаційної технології виявлення бот-мереж у корпоративних мережах на основі аналізу DNS-трафіка, що дало змогу виявляти відомі та невідомі боти бот-мереж з високою достовірністю. Диссертация посвящена решению актуальной научной задачи – созданию информационной технологии с целью повышения достоверности и эффективности обнаружения бот-сетей в корпоративных сетях на основе анализа DNS-трафика. Проведен обзор и выявлены недостатки работы информационных технологий и программных средств обнаружения бот-сетей в сетях. Разработана модель бот- сетей с учетом DNS, модель DNS-трафика и модель процесса обнаружения бот- сетей в корпоративных сетях на основе анализа DNS-трафика. Разработан новый метод идентификации бот-сетей в корпоративных сетях на основе их групповой активности в DNS-трафике, который учитывает также анормальное поведение групп КС в DNS-трафике, свойственное многим видам бот-сетей. Разработанный метод позволяет идентифицировать неизвестные боты уже на начальной стадии распространения инфекции в корпоративной сети, может быть применен как для маленьких, так и для больших сетей, и не требует значительных объемов вычислительных ресурсов для обработки данных. Разработан новый метод обнаружения бот-сетей, которые применяют технологии уклонения от обнаружения на основе DNS, такие как технология «быстросменных» сетей (fast flux service networks), «поток доменов» («domain flux»), периодическая смена IP-отображения для вредоносного домена (cycling of IP mapping) и DNS-туннелирование (DNS-tunneling). Метод использует два подхода: пассивный мониторинг входящего DNS-трафика и активное DNS-зондирование. С целью обнаружения бот-сетей, которые применяют технологии уклонения от обнаружения на основе DNS, используется нечеткая кластеризация c-means с частичным обучением. Объектами кластеризации являются векторы признаков, которые получены из полезной нагрузки входных DNS-сообщений относительно запрошенных компьютерными системами сети доменных имен, на основе пассивного мониторинга DNS-трафика. С целью устранения неопределенности части результатов кластеризации используются дополнительные признаки, которые указывают на применение технологий уклонения бот-сетей на основе DNS, которые могут быть получены на основе активного DNS-зондирования. На базе моделей бот-сетей с учетом DNS и модели процесса обнаружения бот- сетей в корпоративных сетях на основе анализа DNS-трафика разработана информационная технология обнаружения бот-сетей в корпоративных сетях на основе анализа DNS-трафика, которая основывается на разработанных методе идентификации бот-сетей на основе их групповой активности в DNS-трафике и методе обнаружения бот-сетей, которые применяют технологии уклонения от обнаружения на основе DNS. Осуществлена программная реализация информационной технологии обнаружения бот-сетей в корпоративных сетях на основе анализа DNS-трафика, что дало возможность обнаруживать известные и неизвестные боты бот-сетей с высокой достоверностью. Программное обеспечение, реализующее информационную технологию обнаружения бот-сетей, позволяет выполнять следующие задачи: выявление известных и неизвестных ботов бот-сетей на основе пассивного мониторинга DNS-трафика и активного DNS-зондирования; локализация инфицированных ботами компьютерных систем сети. Использование разработанного программного обеспечения позволяет повысить уровень достоверности обнаружения бот-сетей на 8-22% по сравнению с известными антивирусными программными средствами и достичь снижения уровня погрешностей первого рода до 4%, что на 13-70% ниже по сравнению с известными антивирусными программными средствами. The dissertation is devoted to solving of the important scientific problem - the creation of information technology to increase reliability and efficiency of DNS-based botnet detection in the corporate area networks. The weaknesses of the information technologies and software tools for botnets detection in the networks were outlined. The model of botnets which takes into account DNS, the model of DNS-traffic and the model of process of botnets detection in corporate area networks which is based on an analysis of the DNS-traffic were developed. On the basis of the developed models the information technology for botnet detection based on the analysis of DNS-traffic was developed. It is based on two new developed methods: the method of botnets identification based on their group activity in DNS-traffic and the method for botnets detection that use DNS-based evasion techniques. The software of the information technology for botnets detection in the corporate area networks that based on an analysis of the DNS-traffic was developed. Usage of the developed software makes it possible to detect known and unknown bots of the botnets with high reliability. |
Description: | Захист відбудеться «22» лютого 2017 р. о 14.00 годині на засіданні спеціалізованої вченої ради К58.052.06 у Тернопільському національному технічному університеті імені Івана Пулюя за адресою: 46001, м. Тернопіль, вул. Руська, 56, ауд. 58. З дисертацією можна ознайомитися у науково-технічній бібліотеці Тернопільського національного технічного університету імені Івана Пулюя за адресою: 46001, м. Тернопіль, вул. Руська, 56. Автореферат розісланий «18» січня 2017 р. |
URI: | http://elartu.tntu.edu.ua/handle/123456789/18599 |
Copyright owner: | © Бобровнікова К.Ю., 2017 |
References (Ukraine): | 1. Бобровнікова К.Ю. Модель інформаційної технології виявлення бот-мереж на основі аналізу DNS-трафіка [Текст] / К.Ю. Бобровнікова // Вісник Хмельницького національного університету. – 2015. – No 6 (231). – С.164-172 (індексується в наукометричній базі Index Copernicus). 2. Бобровнікова К.Ю. Методи та програмне забезпечення інформаційної технології виявлення бот-мереж на основі аналізу DNS– трафіка [Текст] / К.Ю. Бобровнікова // Вісник Хмельницького національного університету. – 2016. – No 2.– С.53-57 (індексується в наукометричній базі Index Copernicus). 3. Савенко О.С. DNS-метод виявлення бот-мереж [Текст] / О. С. Савенко, С. М. Лисенко, К. Ю. Бобровнікова // Інформаційні технології та комп'ютерна інженерія, 2014. – No 3. – С. 39-45. 20 4. Савенко О.С. Метод виявлення бот-мереж, що використовують технології ухилення на основі DNS [Текст] / О. С. Савенко, С. М. Лисенко, К. Ю. Бобровнікова // Комп’ютерно-інтегровані технології: освіта, наука, виробництво. – 2015. – No 19. – С. 71-78. 5. Савенко О.С. Метод виявлення бот-мереж на основі пасивного моніторингу DNS-трафіка та активного DNS-зондування [Текст] / О. С. Савенко, С. М. Лисенко, К. Ю. Бобровнікова // Комп’ютерно-інтегровані технології: освіта, наука, виробництво. – 2016. – No 22. – С. 136-143. 6. Савенко О. С. Інформаційна технологія виявлення бот-мереж на основі аналізу DNS-трафіка [Текст] / О. С. Савенко, С. М. Лисенко, К. Ю. Бобровнікова // Радіоелектронні і комп’ютерні системи. – 2016. – No 5. – С. 38-42 (індексується в наукометричній базі Index Copernicus). 7. Мультиагентний спосіб локалізації бот-мереж у корпоративних комп’ютерних мережах [Текст] : пат. 108238 Україна : МПК G06F 21/55 (2013.01) / О.В. Поморова, О.С. Савенко, А.Ф. Крищук, С.М. Лисенко, К.Ю. Бобровнікова, А.О. Нічепорук; заявник та власник Хмельницький національний університет. – No u2016 00127 ; заявл. 04.01.16 ; опубл. 11.07.16, Бюл. No 13. 8. Pomorova O. A Technique for the Botnet Detection Based on DNS-Traffic Analysis [Text] / O. Pomorova, O. Savenko, S. Lysenko, A. Kryshchuk, K. Bobrovnikova // Communications in Computer and Information Science. – 2015. – Vol. 522. – pp. 127-138, ISSN: 1865-0929 (part scientometric Web of Science and SCOPUS). 9. Lysenko S. DNS-based Anti-evasion Technique for Botnets Detection [Text] / S. Lysenko, O. Pomorova, O. Savenko, A. Kryshchuk, K. Bobrovnikova // Proceedings of the 2015 IEEEE 8th International Conference on Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications (IDAACS), IDAACS’2015, Warsaw, Poland, September 24-26, 2015, Vol.1. – PP. 453-458, ISBN: 978-1 -4673-8359-2 (Print) (part scientometric Web of Science and SCOPUS). 10. Lysenko S. Anti-evasion Technique for the Botnets Detection Based on the Passive DNS Monitoring and Active DNS Probing / S. Lysenko, O. Pomorova, O. Savenko, A. Kryshchuk, K. Bobrovnikova [Text] // Communications in Computer and Information Science. – 2016. – Vol. 608. – PP. 83-95, ISSN: 1865-0929 (part scientometric SCOPUS). 11. Бобровнікова К.Ю. Методи виявлення бот-мереж, що використовують технології ухилення на основі DNS [Текст] / К.Ю.Бобровнікова, Д.В.Муравський, О.О.Павлова // Збірник наукових праць IV Всеукраїнської науково-практичної конференції молодих учених та студентів «Інтелектуальні технології в системному програмуванні», Хмельницький, 2015. – С. 25-29. 12. Бобровнікова К.Ю. Аналіз DNS-методів виявлення бот-мереж [Текст] / К.Ю.Бобровнікова, А.І.Наконечний, М.А.Репушанська // Збірник наукових праць IV Всеукраїнської науково-практичної конференції молодих учених та студентів «Інтелектуальні технології в системному програмуванні», Хмельницький, 2015. – С. 29-33. 13. Савенко О.С. Дослідження DNS-методів виявлення бот-мереж [Текст] / О. С. Савенко, С. М. Лисенко, К. Ю. Бобровнікова // Контроль і управління в складних системах (КУСС-2014). XII Міжнародна конференція. Тези доповідей. Вінниця, 14-16 жовтня 2014 року. – Вінниця: ВНТУ. – 2014. – С. 87. 14. Савенко О.С. Модель процесу виявлення бот-мереж на основі аналізу DNS- трафіка [Текст] / О. С. Савенко, К. Ю. Бобровнікова // Матеріали 3-ї Міжнародної конференції з автоматичного управління та інформаційних технологій, ICACIT- 2015 . – К.: КПІ. – 2015. – С. 60-67. 15. Бобровнікова К.Ю. Метод виявлення бот-мереж на основі пасивного моніторингу DNS-трафіка та активного DNS-зондування [Текст] / К. Ю. Бобровнікова, О. С. Савенко, С. М. Лисенко // Збірник тез доповідей міжнародного науково-практичного семінару молодих вчених та студентів «Програмовані логічні інтегральні схеми та мікропроцесорна техніка в освіті і виробництві». – м. Луцьк, ЛНТУ. – 2016. – С. 20-23. 16. Савенко О.С. Применение кластерного анализа для решения задачи обнаружения бот-сетей на основе анализа DNS-трафика [Текст] / О.С. Савенко, С. Н. Лысенко, К.Ю. Бобровникова // Сборник трудов ХVI Международной научной конференции «Интеллектуальный анализ информации (ИАИ-2016)» им. Т.А.Таран. Сборник трудов. – К.: Просвіта. – 2016. – С.186-192. |
Content type: | Thesis |
Appears in Collections: | 05.13.06 – інформаційні технології |
Files in This Item:
File | Description | Size | Format | |
---|---|---|---|---|
Avtoreferat_Bobrovnikova_K_JU.djvu | 1,04 MB | DjVu | View/Open | |
Avtoreferat_Bobrovnikova_K_JU.pdf | автореферат | 1,51 MB | Adobe PDF | View/Open |
Avtoreferat_Bobrovnikova_K_JU__COVER.png | 86,29 kB | image/png | View/Open | |
Dysertacija_Bobr.djvu | 9,51 MB | DjVu | View/Open | |
Dysertacija_Bobr.pdf | дисертація | 10,14 MB | Adobe PDF | View/Open |
Dysertacija_Bobr__COVER.png | 98,95 kB | image/png | View/Open | |
oponent_Kozak.djvu | 1,81 MB | DjVu | View/Open | |
oponent_Kozak.pdf | відгук, Р. О. Козак | 5,19 MB | Adobe PDF | View/Open |
oponent_Krylov.djvu | 2,26 MB | DjVu | View/Open | |
oponent_Krylov.pdf | відгук, В. М. Крилов | 8,72 MB | Adobe PDF | View/Open |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.