Botnets Detecting Attack based on DNS Features 2018 ACIT

摘要

僵尸网络被认为是一个威胁网络安全的严重问题。这是网络犯罪分子用来进行非法活动的一种手段。这些活动可能包括点击欺诈和DDoS攻击。本文旨在提出一种新的滤波方法“枪手系统”。上述方法涉及用于检测僵尸网络的基于规则的域名系统(DNS)特性。通过这种方法,研究人员期望提高基于DNS的僵尸网络检测的准确性。

关键词:Botnet, Domain Name System (DNS), Botnet Filtering, Features based, Rule-based

一、介绍

僵尸网络是一种常用于感染计算机的软件程序。它通常被称为(机器人),通常用于实现恶意目标。僵尸运行为用于执行特定的自动化任务而开发的小脚本。一个攻击者或多个攻击者可以控制一个僵尸。这种攻击者被称为“僵尸大师”。根据McAfee实验室发布的统计数据,2014年最后一个季度发现了5000万件新的恶意软件。此外,80%的互联网流量是与垃圾邮件(SPAM emails)相关的僵尸网络流量。这些电子邮件来自于僵尸网络,比如:Rustock Cutwail和 Grum。如今,一个大规模僵尸网络可能由100万台发起网络攻击的电脑组成。

本研究的意义在于开发一种采用特征选择机制的方法。这种方法用于认出基于DNS的僵尸网络,并根据它们的特征来检测出僵尸网络。枪手系统的方法被认为比以前的任何其他方法都更准确。

本研究分为4个部分。第一部分是对本研究的介绍,第二部分是对相关文献的综述。第三部分介绍了教学方法 最后,第四部分给出了论文的结论。

二、相关文献综述

回顾几种用于检测基于DNS的僵尸网络的方法。这些方法有不同的类型,如下所示:
A. 基于dns的异常僵尸网络检测方法
这些方法旨在通过对网络流量进行分析来检测僵尸网络。它用于检测任何异常行为,如高网络延迟或突然出现的大量流量。这些行为表明在网络中存在着机器人。
B.基于主机的异常检测方法
在该类型的方法中,在每台计算机上执行分析和监控操作。它们被用于检测任何恶意活动。这是通过监控系统进程和评估对系统调用和内核级例程的访问来实现。
C. 主动监控方法
在这种方法下,特殊制作的数据包被合并到一个受监控的网络中。这样做是为了刺激网络的响应。之后,这些响应将被捕获和分析。这个过程的目的是检测任何可以表明存在恶意软件的证据。BotProbe, Strayer从垃圾软件中提取URL特征。
D.被动监测方法
这些方法最早是由Weimer提出的。他的方法旨在通过传感器检测服务器间的DNS消息。它还旨在将这些消息转发到一个特定的收集点,以便分析它们。

不幸的是,C&C方法的最近趋向于使用DNS服务器作为有效负载的瞬时存储。快速通量和DGAs方法可用于逃避僵尸网络的检测。Kwon[14]引入了一种被称为(PsyBoG)的方法,它被认为是快速和可扩展的。它可以检测由DNS流量导致的任何恶意行为。通过功率谱密度分析,检测了僵尸网络的周期性DNS查询的结果。它们也可以通过使用信号处理方法进行检测。各种DNS流量都是通过使用请求的IP地址和时间戳来存储的。这个过程的目的是确定一个主机的周期性。

因此,通过选择正确的特征,可以提高检测方法的性能水平。因此,所选特征的质量、优化和类型显著影响了检测系统的准确性。这些事情必须得到极大的关注。在下一节中,研究人员将介绍通过使用不同的算法来选择最有效的特征的方法。

三、建议的方法(枪手系统)
本部分说明了提出的方法的结构。该方法用于检测基于dns的僵尸网络的存在。这种检测是基于DNS响应和查询的异常行为进行的。这种方法包括三个阶段。这些阶段如图1所示。

图1

A. 数据集预处理(第一步)
在这一阶段,研究人员的目标是将捕获的网络流量过滤成一种有意义的格式。此外,该阶段还包括另一个数据清理的过程。在这一阶段,研究人员旨在检测和消除数据集中存在的所有错误。它们还旨在丢弃出现在数据集中的冲突实例。除了数据预处理外,有助于产生更准确的结果。

B. DNS特征选择(第二阶段)
一般来说,本研究的问题是利用该方法检测基于dns的僵尸网络。该方法的目标是提取一个适当和有效的特征子集,这将对所提出的方法的准确性水平有积极影响。本阶段的目的是从基本特征中提取最重要的特征集。

C. 基于IGR的特征排名
有几种算法可以用于选择和测量检测特征的有效性。这些算法可能包括:PCA、IGR和卡方统计数据。IGR算法被认为是最常用的算法。它被用于测量和排序特征的有效性。

D. 特征排序PCA(主成分分析)的选择
主成分分析是指一种用于将相关变量转化为一组新的不相关变量的数学技术。主成分分析是一种常用的特征选择方法

E.特征交叉
采用特征交叉法减少了相关特征的数量,而不负面影响该方法的准确性。它选择了可用于检测基于dns的僵尸网络的最有效的特征,如图2所示。因此,在该方法中,应用基本特征的交叉后,得到了9个特征,如图3所示。


F. 基于DNS的僵尸网络检测(第三阶段):
在目前的阶段,研究人员旨在检测僵尸网络。这是通过分析DNS流量的行为来实现的。当僵尸网络采用几种技术来逃避安全方法时,这种分析将变得更加具挑战性。这些技术可能包括:点对点(P2P)和快速通量技术。本阶段旨在以更准确的方式检测DNS响应和查询的任何异常行为。这个检测过程是通过使用一组新特征来完成的。

四、结论

所提出的方法是通过三个主要阶段发展起来的。第一阶段是预处理阶段,其目的是根据DNS来过滤传入的数据包。它还旨在DNS数据集中提取波普特征。第二个阶段称为DNS特征提取。它旨在利用特征提取算法、PCA和IGR,提取在基于dns的僵尸网络检测中发挥重要作用的特征。这两种算法所选择的特征被认为是最有效的特征。这些高效的特征已被用作下一阶段用于检测基于dns的僵尸网络行为的输入。最后,检测基于DNS僵尸网络的两种行为。第一个行为是异常的DNS查询,第二个行为是异常DNS响应。执行任何行为的IP源都应被视为僵尸网络的一部分。

基于DNS特征的僵尸网络攻击检测 论文翻译相关推荐

  1. YOLO V1 实时的目标检测 论文翻译

    YOLO V1 实时的目标检测 论文翻译 注:学习记录用 摘要 我们提出了一种新的目标检测方法 YOLO.先前关于目标检测的工作重新使用分类器来执行检测. 相反,我们将目标检测框架作为一个回归问题,以 ...

  2. 基于DNS数据分析的恶意域名检测

    本文主要参考的是Zhauniarovich Y, et al[1]的工作,发表在Acm Computer Surveys上的一篇较为系统地阐述了基于DNS数据分析来进行恶意域名检测的研究背景,研究过程 ...

  3. CVPR 2019|PoolNet:基于池化技术的显著性检测 论文解读

    作者 | 文永亮 研究方向 | 目标检测.GAN 研究动机 ​ 这是一篇发表于CVPR2019的关于显著性目标检测的paper,在U型结构的特征网络中,高层富含语义特征捕获的位置信息在自底向上的传播过 ...

  4. 基于 CNN 特征区域进行目标检测

    点击上方"小白学视觉",选择加"星标"或"置顶" 重磅干货,第一时间送达 目标检测是目前计算机视觉领域最热门的技术之一,该领域的研究一直在以 ...

  5. 基于HOG特征的Adaboost行人检测

    原地址:http://blog.csdn.net/van_ruin/article/details/9166591 1.方向梯度直方图(Histogramof Oriented Gradient, H ...

  6. Pupil dynamics for iris liveness detection 瞳孔活体检测论文翻译

    Pupil dynamics for iris liveness detection Abstract 本文的主要目的是提出一种基于瞳孔动力学的完整的眼睛活性检测方法.这种方法可以作为虹膜识别系统中呈 ...

  7. [目标检测]论文翻译代码理解-SCRDet: Towards More Robust Detection for Small, Cluttered and Rotated Objects

    2019.12.10 更新 未完结 3. The Proposed Method 首先,我们在图1中概述了我们的两阶段方法: 在第一阶段,通过添加SF-Net和MDA-Net,可以期望特征图包含更多的 ...

  8. 基于网络、系统和过程数据的工业控制系统多层数据驱动网络攻击检测系统

    Multilayer Data-Driven Cyber-Attack Detection System for Industrial Control Systems Based on Network ...

  9. 神经网络特征图计算_GNNFiLM:基于线性特征调制的图神经网络

    GNN-FiLM:基于线性特征调制的图神经网络 论文链接:https://arxiv.org/abs/1906.12192v3 源代码:https://github.com/Microsoft/tf- ...

最新文章

  1. 基于深度学习的自然图像和医学图像分割:网络结构设计
  2. php如何测量坐标周围,php – 如何检查经度/纬度点是否在坐标范围内?
  3. iOS之十三个小技巧帮你征服Xcode
  4. [MEGA DEAL]专家级Java捆绑包新手(96%)
  5. Flink的状态一致性
  6. FLAT:中文NER屠榜之作!
  7. 99乘法表c语言显示坐标,C语言打印九九乘法表
  8. Apple Pay编程指南(5) - 处理付款结果
  9. AM335x片上ecap驱动移植
  10. 手Q支付Android开发面试前小记
  11. (PTA)数据结构(作业)8、期中测验
  12. php只取时间的下士_闲来无聊,用python抓取天气信息,简单就是美啊
  13. GIS 术语和缩略语
  14. java pdf stamper_使用pdfstamper(Itext)将页码添加到pdf
  15. win7拔掉耳机后电脑没声音了
  16. 3D音频理论研究(二)---3D全介绍(转)
  17. 【数据库笔记】高性能MySQL:chapter 5 创建高性能的索引
  18. 习题 8-28 打结(Knots, ACM/ICPC ACM/ICPC Jakarta 2012, UVa1624)
  19. 通过api向外发送报告清单邮件
  20. MATLAB工具箱大全

热门文章

  1. 计算机考研雷区,注意!这5个考研雷区不要踩!_考研吧
  2. UEFI BIOS —— SEC阶段分析
  3. 关于Linux进程介绍
  4. Android 二维图形处理引擎 Skia
  5. 台语歌谣的奇葩── 邓雨贤
  6. 愿你漂泊半生,归来仍是少年
  7. 随想录二刷Day15——二叉树
  8. 网络安全-渗透术语讲解
  9. 即时聊天IM软件集合
  10. 夏时制 windows/linux