|
|
|
|
| LEADER |
03604nam a22001937a 4500 |
| 005 |
20180130111335.0 |
| 008 |
180130s2017 ci ||||| |||| 00| 0 hrv d |
| 040 |
|
|
|a HR-ZaFER
|b hrv
|c HR-ZaFER
|e ppiak
|
| 041 |
|
|
|a hrv
|
| 100 |
|
|
|9 38949
|a Cafuta, Davor
|
| 245 |
|
|
|a Prepoznavanje mreže kompromitiranih računala obilježjima prometa sustava imenovanja domena u stvarnom vremenu :
|b doktorski rad /
|c Davor Cafuta ; mentor Vlado Sruk
|
| 260 |
|
|
|a Zagreb :
|b D. Cafuta, Fakultet elektrotehnike i računarstva,
|c 2017.
|
| 300 |
|
|
|a x, 171 str. :
|b ilustr. u bojama ;
|c 30 cm +
|e CD
|
| 504 |
|
|
|a Bibliografija str. 157-165.
|
| 520 |
|
|
|a Mreže kompromitiranih računala (eng. Botnet) danas se smatraju primarnom prijetnjom te su mnoga istraživanja usmjerena na njihovo otkrivanje i blokiranje. Moderne mreže kompromitiranih računala koriste se skrivanjem kroz osobine imeničkog protokola (eng. Fast-flux) kako bi zaštitili svoje domene kroz stalnu rotaciju kompromitiranih računala poslužitelja. U praksi ovaj koncept podsjeća na primijenjenu tehniku za pouzdano posluživanje (Content Delivery Network - CDN). Radi otkrivanja mreža kompromitiranih računala potrebno je uočiti razlike između te dvije primjene. Cilj rada je poboljšati tehniku otkrivanja mreža kompromitiranih računala na sustavu za otkrivanje napada ili usmjerniku. U radu se predlaže nova klasifikacijska metoda za analizu imeničkog prometa u svrhu razlikovanja mreža kompromitiranih računala od legitimne mreže za pouzdano posluživanje. Naglasak u klasifikaciji je usmjeren na primjenu u ugrađenom sustavu. Temeljem klasifikacije primijenjena je metoda mjerenja brzine odziva domene sa ciljem otkrivanja poslužitelja posrednika. Radi bolje klasifikacije kroz smanjenje lažnih pozitivnih rezultata predlaže se nova metoda analize broja pogodaka na pretraživačima. Dobiveni rezultati pokazuju da novo predložena klasifikacija može značajno unaprijediti otkrivanje mreže kompromitiranih računala. Predlaže se procedura za ugradnju navedene klasifikacije u ugrađeni sustav kao dio sustava za otkrivanje napada.
Ključne riječi:
Mreža kompromitiranih računala, Sustav za otkrivanje napada, Tehnika skrivanja mrežne adrese
|
| 520 |
|
|
|a Botnets are considered as the primary threats on the Internet and there have been many research efforts to detect and mitigate them. Today, Botnet uses a DNS technique fast-flux to hide malware sites behind a constantly changing network of compromised hosts. This technique is similar to trustworthy Round Robin DNS technique and Content Delivery Network (CDN). In order to distinguish the normal network traffic from Botnets different techniques are developed with more or less success. The aim of this paper is to improve Botnet detection using an Intrusion Detection System (IDS) or router. A novel classification method for online Botnet detection based on DNS traffic features that distinguish Botnet from a CDN based traffic is presented. Botnet features are classified according to the possibility of usage and implementation in a embedded system. Traffic response is analysed as a strong candidate for online detection. Its disadvantage lies in specific areas where CDN acts as a Botnet. A new feature based on search engine hits is proposed to improve the false positive detection. The experimental evaluations show that proposed classification could significantly improve Botnet detection. A procedure is suggested to implement such a system as a part of an IDS.
Keywords:
Botnet, IDS, Fast-flux
|
| 700 |
|
|
|4 ths
|9 9227
|a Sruk, Vlado
|
| 942 |
|
|
|2 udc
|c D
|
| 999 |
|
|
|c 47479
|d 47479
|