Скрытая марковская модель для определения вредоносных узлов компьютерной сети

  • Яков Васильевич Бубнов Белорусский государственный университет информатики и радиоэлектроники, ул. Петруся Бровки, 6, 220013, г. Минск, Беларусь https://orcid.org/0000-0003-0768-5746
  • Николай Николаевич Иванов Белорусский государственный университет информатики и радиоэлектроники, ул. Петруся Бровки, 6, 220013, г. Минск, Беларусь https://orcid.org/0000-0002-8253-2793

Аннотация

Рассматривается проблема определения вредоносных узлов в компьютерной сети. Активность узлов сети фиксируется с помощью зашумленного детектора с привязкой ко времени. В работе предлагается метод идентификации подобных узлов путем классификации временных рядов активности узлов сети. Метод основан на построении скрытой марковской модели для анализируемого временного ряда и последующем поиске наиболее вероятного конечного состояния модели. Эффективность подхода базируется на предположении, что целевые кибератаки локализованы во времени, а значит, активность вредоносных узлов сети отличается от безопасных.

Биографии авторов

Яков Васильевич Бубнов, Белорусский государственный университет информатики и радиоэлектроники, ул. Петруся Бровки, 6, 220013, г. Минск, Беларусь

аспирант кафедры электронных вычислительных машин факультета компьютерных систем и сетей

Николай Николаевич Иванов, Белорусский государственный университет информатики и радиоэлектроники, ул. Петруся Бровки, 6, 220013, г. Минск, Беларусь

кандидат физико-математических наук; доцент кафедры электронных вычислительных машин факультета компьютерных систем и сетей

Литература

  1. Qi C, Chen X, Xu C, Shi J, Liu P. A bigram based real time DNS tunnel detection approach. Procedia Computer Science. 2013;17:852–860. DOI: 10.1016/j.procs.2013.05.109.
  2. Souri A, Hosseini R. A state-of-the-art survey of malware detection approaches using data mining techniques. Human-Centric Computing and Information Sciences. 2018;8(1):2–22. DOI: 10.1186/s13673-018-0125-x.
  3. Skvortsov P, Hoppe D, Tenschert A, Geinger M. Monitoring in the clouds: comparison of ECO2Clouds and EXCESS monitoring approaches. arXiv:1601.07355 [Preprint]. 2016 [cited 2020 June 2]. Available from: https://arxiv.org/abs/1601.07355.
  4. Rong K, Bailis P. ASAP: prioritizing attention via time series smoothing. Proceedings of the Very Large Data Bases Endowment. 2017;10(11):1358–1369. DOI: 10.14778/3137628.3137645.
  5. Knuth DE. A generalization of Dijkstra’s algorithm. Information Processing Letters. 1977;6(1):1–5. DOI: 10.1016/0020-0190(77)90002-3.
  6. Deitrich CJ, Rossow C, Freiling FC, Bos H, van Steen M, Pohlmann N. On botnets that use DNS for command and control. In: 7 th European Conference on Computer Network Defense; 2011 September 6–7; Gotheburg, Sweden. Piscataway: IEEE; 2011. p. 9–16. DOI: 10.1109/EC2ND.2011.16.
  7. Tatang D, Quinket F, Dolecki N, Holz T. A study of newly observed hostnames and DNS tunneling in the wild. arXiv:1902.08454 [Preprint]. 2019 [cited 2020 June 2]. Available from: https://arxiv.org/abs/1902.08454.
  8. Bubnov Y. DNS tunneling queries for binary classification. Mendeley Data [Internet]. 2019 [cited 2020 August 17]. Available from: https://data.mendeley.com/datasets/mzn9hvdcxg/1. DOI: 10.17632/mzn9hvdcxg.1.
  9. Bubnov Y. DNS tunneling detection using feedforward neural network. European Journal of Engineering Research and Science. 2018;3(11):16–19. DOI: 10.24018/ejers.2018.3.11.963.
Опубликован
2020-12-08
Ключевые слова: скрытая марковская модель, компьютерная сеть, целевая кибератака, классификация временных рядов
Как цитировать
Бубнов, Я. В., & Иванов, Н. Н. (2020). Скрытая марковская модель для определения вредоносных узлов компьютерной сети. Журнал Белорусского государственного университета. Математика. Информатика, 3, 73-79. https://doi.org/10.33581/2520-6508-2020-3-73-79