Download
1 / 19
190 likes | 477 Views
基于 DNS 通信数据挖掘的 Botnet 检测方法. 提纲. 背景 系统 实验 扩展. 僵尸网络. 僵尸网络( Botnet ),是指采用一种或多种传播手段,使大量主机感染僵尸程序 ( bot 程序),从而在控制者和被感染主机之间通过命令和控制体系所形成的一个一对多控制的网络。. DNS 协议. 域名系统协议( DNS )是一种分布式网络目录服务,主要用来把主机名转换为 IP 网络地址,是 Internet 最基础的协议之一. DNS vs Botnet 检测. IP : 1.2.3.4.
E N D
提纲 • 背景 • 系统 • 实验 • 扩展
僵尸网络 僵尸网络(Botnet),是指采用一种或多种传播手段,使大量主机感染僵尸程序 (bot程序),从而在控制者和被感染主机之间通过命令和控制体系所形成的一个一对多控制的网络。
DNS协议 • 域名系统协议(DNS)是一种分布式网络目录服务,主要用来把主机名转换为IP网络地址,是Internet最基础的协议之一
DNSvsBotnet检测 IP:1.2.3.4 Botnet倾向于使用动态DNS定位C&C服务器,提高系统的健壮性和可用性
续 IP: 1.2.3.4 域名:botnet.ddns.net
续 IP: 1.2.3.4 IP: 5.6.7.8 域名:botnet.ddns.net
相关研究 • DNS Measurements at a Root Server • Brownlee, N.claffy, k.Nemeth, E. • GLOBECOM, 2001 • Detecting Mass-Mailing Worm Infected Hosts by Mining DNS Traffic Data. • Yasuo Musashi, Ryuichi Matsuba, and Kenichi Sugitani. • SIGCOMM , 2005 • Passive Monitoring of DNS Anomalies • Zdrnja, B. Brownlee, N.Wessels, D. • DIMVA Conference, 2007
提纲 • 背景 • 系统 • 实验 • 扩展
DNS数据采集方法 • 在DNS服务器上运行日志程序记录收到的查询请求 • 如果客户端不使用本地的DNS服务器则采集不到 数据 • 在网络流量中过滤出DNS通信 • 这样不论客户端是否使用本地DNS服务器都可被采集到
数据库 • 表项 • 编号/请求IP/服务器IP/时间/查询类型/查询域名 • Perl+MySQL
训练数据 • 非本地DNS服务器 • 通过分析采集到的DNS通信数据,发现有不少系统(约10%)使用一些不是我们提供的DNS服务器 • 非常规查询类型 • 除了通常的请求类型A,PTR之外,还有大量的MX类型和AXFR/IXFR类
数据挖掘算法 • Ripper • 很好的归类准确性和简单的规则 • 改进 • 实例权重的学习算法 • 批量增加 • 窗口阈值
提纲 • 背景 • 系统 • 实验 • 扩展
数据 2006年7月~2006年8月 每小时约采集180,000记录条数,其中经过数据挖掘处理,约300记录被标示为可疑
DNS数据挖掘的其它应用 检测NAT代理 用户行为分析
