Phát hiện DGA Botnet sử dụng kết hợp nhiều nhóm đặc trưng phân loại tên miền

Bài viết này đề xuất bổ sung một nhóm gồm 4 đặc trưng phân loại tên miền mới kết hợp với 3 nhóm gồm 18 đặc trưng đã có nhằm cải thiện hiệu quả phát hiện của mô hình phát hiện DGA botnet dựa trên học máy. Các kết quả thử nghiệm cho thấy, nhóm đặc trưng phân loại mới giúp tăng đáng kể độ chính xác phát hiện và giảm tỷ lệ phát hiện nhầm. | Kỷ yếu Hội nghị KHCN Quốc gia lần thứ XII về Nghiên cứu cơ bản và ứng dụng Công nghệ thông tin FAIR Huế ngày 07-08 6 2019 DOI PHÁT HIỆN DGA BOTNET SỬ DỤNG KẾT HỢP NHIỀU NHÓM ĐẶC TRƯNG PHÂN LOẠI TÊN MIỀN Vũ Xuân Hạnh 1 Hoàng Xuân Dậu2 1 Trung tâm Ngoại ngữ Tin học và Bồi dưỡng ngắn hạn Đại học Mở Hà Nội 2 Khoa Công nghệ Thông tin 1 Học viện Công nghệ Bưu chính Viễn thông hanhvx@ dauhx@ TÓM TẮT Trong những năm gần đây các botnet đã trở thành một trong các nguy cơ gây mất an toàn thông tin hàng đầu do chúng không ngừng phát triển về cả quy mô và mức độ tinh vi. Nhiều dạng botnet sử dụng kỹ thuật DGA để sinh và đăng ký nhiều tên miền ngẫu nhiên khác nhau cho máy chủ lệnh và điều khiển C amp C của chúng nhằm chống lại việc bị kiểm soát. Việc phân tích phát hiện các tên miền truy vấn hệ thống DNS có thể giúp phát hiện các hoạt động của botnet do các bot tồn tại trong hệ thống mạng cũng liên tục sử dụng kỹ thuật DGA để sinh tên miền và truy vấn hệ thống DNS để tìm địa chỉ IP của các máy chủ C amp C. Các mô hình phát hiện DGA botnet dựa trên phân phân loại tên miền do botnet sinh tự động với tên miền bình thường đã được nghiên cứu đề xuất. Bài báo này đề xuất bổ sung một nhóm gồm 4 đặc trưng phân loại tên miền mới kết hợp với 3 nhóm gồm 18 đặc trưng đã có nhằm cải thiện hiệu quả phát hiện của mô hình phát hiện DGA botnet dựa trên học máy. Các kết quả thử nghiệm cho thấy nhóm đặc trưng phân loại mới giúp tăng đáng kể độ chính xác phát hiện và giảm tỷ lệ phát hiện nhầm. Từ khóa DGA botnet phát hiện DGA botnet mô hình phát hiện botnet đặc trưng n-gram. I. GIỚI THIỆU Trong những năm gần đây botnet được đánh giá là một trong các nguy cơ gây mất an toàn thông tin hàng đầu trong các dạng mã độc malware hoạt động trên mạng Internet 1 2 . Các botnet không ngừng phát triển trên mạng Internet toàn cầu về cả quy mô và sự tinh vi của các kỹ thuật điều khiển. Mỗi thành viên trong botnet được gọi là bot. Bot là một malware do một nhóm tin tặc

Không thể tạo bản xem trước, hãy bấm tải xuống
TỪ KHÓA LIÊN QUAN
TÀI LIỆU MỚI ĐĂNG
Đã phát hiện trình chặn quảng cáo AdBlock
Trang web này phụ thuộc vào doanh thu từ số lần hiển thị quảng cáo để tồn tại. Vui lòng tắt trình chặn quảng cáo của bạn hoặc tạm dừng tính năng chặn quảng cáo cho trang web này.