دورية أكاديمية
Text analysis of DNS queries for data exfiltration protection of computer networks ; Текстовый анализ DNS запросов для защиты компьютерных сетей от эксфильтрации данных
| العنوان: | Text analysis of DNS queries for data exfiltration protection of computer networks ; Текстовый анализ DNS запросов для защиты компьютерных сетей от эксфильтрации данных |
|---|---|
| المؤلفون: | Ya. Bubnov V., N. Ivanov N., Я. Бубнов В., Н. Иванов Н. |
| المصدر: | Informatics; Том 17, № 3 (2020); 78-86 ; Информатика; Том 17, № 3 (2020); 78-86 ; 2617-6963 ; 1816-0301 |
| بيانات النشر: | UIIP NASB |
| سنة النشر: | 2020 |
| المجموعة: | Informatics (E-Journal) / Информатика |
| مصطلحات موضوعية: | domain name system, computer network security, data exfiltration, text classification, convolutional neural network, cистема доменных имен, защита компьютерных сетей, эксфильтрация данных, текстовая классификация, сверточная нейронная сеть |
| الوصف: | The paper proposes effective method of computer network protection from data exfiltration by the system of domain names. Data exfiltration by Domain Name System (DNS) is an approach to conceal the transfer of confidential data to remote adversary using data encapsulation into the requesting domain name. The DNS requests that transfer stolen information from a host infected by malicious software to an external host controlled by a malefactor are considered. The paper proposes a method of detecting such DNS requests based on text classification of domain names by convolutional neural network. The efficiency of the method is based on assumption that domain names exploited for data exfiltration differ from domain names formed from words of natural language. To classify the requests in convolutional neural network the use of character embedding for representing the string of a domain name is proposed. Quality evaluation of the trained neural network used for recognition of data exfiltration through domain name system using ROC-analysis is performed.The paper presents the software architecture used for deployment of trained neural network into existing infrastructure of the domain name system targeting practical computer networks protection from data exfiltration. The architecture implies creation of response policy zones for blocking of individual requests, classified as malicious. ; Предлагается эффективный способ защиты компьютерных сетей от эксфильтрации данных через систему доменных имен (англ. Domain Name System, DNS), которая представляет собой способ сокрытия передачи конфиденциальной информации удаленному злоумышленнику путем инкапсуляции данных в запрашиваемое доменное имя. Рассматриваются DNS-запросы, в которых передается украденная информация, c зараженного вредоносной программой узла на внешний узел, управляемый злоумышленником. Описывается подход для обнаружения подобных запросов с помощью текстовой классификации доменных имен сверточной нейронной сетью. Эффективность подхода базируется на предположении, ... |
| نوع الوثيقة: | article in journal/newspaper |
| وصف الملف: | application/pdf |
| اللغة: | Russian |
| العلاقة: | https://inf.grid.by/jour/article/view/1057/959Test; Zhong, X. Stealthy malware traffic – not as innocent as it looks / X. Zhong, Y. Fu, R. Brooks // Malicious and Unwanted Software (MALWARE) : 10th Intern. Conf., Fajardo, 20–22 Oct. 2015. – Fajardo, 2015. – P. 110–116.; On botnets that use DNS for command and control / C. Deitrich [et al.] // Computer Network Defense : 7th European Conf. on Computer Network Defense, Gotheburg, 6–7 Sept. 2011. – Gotheburg, 2011. – P. 9–16.; Valenzuela, I. Game changer: identifying and defending against data exfiltration attempts [Electronic resource] // SANS Cyber Security Summit Archive. – 2015. – Mode of access: https://www.sans.org/cyber-security-summit/archives/file/summit-archive-1493840468.pdfTest. – Date of access: 15.02.2020.; Bubnov, Y. DNS tunneling queries for binary classification [Electronic resource] / Y. Bubnov // Mendeley Data. – N. Y., 2019. – Vol. 1. – Mode of access: https://data.mendeley.com/datasets/mzn9hvdcxg/1Test. – Date of access: 15.02.2020.; A bigram based real time DNS tunnel detection approach / C. Qi [et al.] // Procedia Computer Science. – 2013. – Vol. 17. – P. 852–860.; Born, K. Detecting DNS tunneling using character frequency analysis / K. Born, D. Gustafson // Proc. of the 9th Annual Security Conf., Las Vegas, 7–8 Apr. 2010. – Las Vegas, 2010. – P. 2–3.; Nadler, A. Detection of malicious and low throughput data exfiltration over the DNS protocol / A. Nadler, A. Aminov, A. Shabtai. – 2018. – Mode of access: https://arxiv.org/abs/1709.08395Test. – Date of access: 15.02.2020.; Berg, A. Identifying DNS-tunneled Traffic with Predictive Models [Electronic resource] / A. Berg, D. Forsberg. – 2019. – Mode of access: https://arxiv.org/abs/1906.11246Test. – Date of access: 12.01.2020.; Лукацкий, А. Об утечках через DNS, которые не ловит ни одна DLP [Электронный ресурс] / А. Лукацкий // Бизнес без опасности. – 2018. – Режим доступа: https://www.securitylab.ru/blog/personal/Business_without_danger/343229.phpTest. – Дата доступа: 07.05.2020.; Mockapetris, P. Domain names – implementation and specification [Electronic resource] / P. Mockapetris // Internet Standard, ISI. – 1987. – Mode of access: https://tools.ietf.org/html/rfc1035Test. – Date of access: 15.02.2020.; Character-aware Neural Language Models [Electronic resource] / Y. Kim [et al.]. – 2016. – Mode of access: https://arxiv.org/abs/1508.06615Test. – Date of access: 12.01.2020.; Watson, D. Utilizing Character and Word Embedding for Text Normalization with Sequence-to-Sequence Models [Electronic resource] / D. Watson, N. Zalmout, N. Habash. – 2019. – Mode of access: https://arxiv.orgTest/ abs/1809.01534. – Date of access: 12.01.2020.; Gal, Y. A Theoretically Grounded Application of Dropout in Recurrent Neural Networks [Electronic resource] / Y. Gal, Z. Ghahraamni. – 2016. – Mode of access: https://arxiv.org/abs/1512.05287Test. – Date of access: 12.01.2020.; Self-normalizing Neural Networks [Electronic resource] / G. Klambauer [et al.] – 2017. – Mode of access: https://arxiv.org/abs/1706.02515Test. – Date of access: 12.01.2020.; Kingma, D. Adam: a method for stochastic optimization / D. Kingma, J. Ba // 3rd Intern. Conf. for Learning Representations, San Diego, 7–9 May 2015. – San Diego, 2015. – 15 p.; Nygren, E. The Akami network: a platform for high-performance internet applications / E. Nygren, Sitaraman, J. Sun // ACM SIGOPS Operating Systems Review. – 2010. – Vol. 44, iss. 3. – P. 2–19.; https://inf.grid.by/jour/article/view/1057Test |
| DOI: | 10.37661/1816-0301-2020-17-3-78-86 |
| الإتاحة: | https://doi.org/10.37661/1816-0301-2020-17-3-78-86Test https://inf.grid.by/jour/article/view/1057Test |
| حقوق: | Authors who publish in this journal agree to the following:1. The authors retain the copyright for the work and grant the journal the right to first publish the work under the terms of the Creative Commons Attribution License, which allows others to redistribute the work with the obligatory retention of links to the authors of the original work and the original publication in this journal.2. The authors reserve the right to enter into separate contractual agreements regarding the non-exclusive distribution of the published version of the work (for example, placing it in the institute's repository, publication in a book), with reference to its original publication in this journal.3. Authors have the right to post their work on the Internet before and during the review process by this journal, as this may lead to productive discussion and more links to this work (see The Effect of Open Access). ; Авторы, публикующиеся в данном журнале, соглашаются со следующим:1. Авторы сохраняют за собой авторские права на работу и предоставляют журналу право первой публикации работы на условиях лицензии Creative Commons Attribution License, которая позволяет другим распространять данную работу с обязательным сохранением ссылок на авторов оригинальной работы и оригинальную публикацию в этом журнале.2. Авторы сохраняют право заключать отдельные контрактные договоренности, касающиеся неэксклюзивного распространения версии работы в опубликованном виде (например, размещения ее в институтском хранилище, публикации в книге), со ссылкой на ее оригинальную публикацию в данном журнале.3. Авторы имеют право размещать свою работу в сети Интернет до и во время процесса рассмотрения ее данным журналом, так как это может привести к продуктивному обсуждению и большему количеству ссылок на данную работу (см. The Effect of Open Access). |
| رقم الانضمام: | edsbas.427F5265 |
| قاعدة البيانات: | BASE |
| DOI: | 10.37661/1816-0301-2020-17-3-78-86 |
|---|