Скрытая марковская модель для определения вредоносных узлов компьютерной сети
Аннотация
Рассматривается проблема определения вредоносных узлов в компьютерной сети. Активность узлов сети фиксируется с помощью зашумленного детектора с привязкой ко времени. В работе предлагается метод идентификации подобных узлов путем классификации временных рядов активности узлов сети. Метод основан на построении скрытой марковской модели для анализируемого временного ряда и последующем поиске наиболее вероятного конечного состояния модели. Эффективность подхода базируется на предположении, что целевые кибератаки локализованы во времени, а значит, активность вредоносных узлов сети отличается от безопасных.
Литература
- Qi C, Chen X, Xu C, Shi J, Liu P. A bigram based real time DNS tunnel detection approach. Procedia Computer Science. 2013;17:852–860. DOI: 10.1016/j.procs.2013.05.109.
- Souri A, Hosseini R. A state-of-the-art survey of malware detection approaches using data mining techniques. Human-Centric Computing and Information Sciences. 2018;8(1):2–22. DOI: 10.1186/s13673-018-0125-x.
- Skvortsov P, Hoppe D, Tenschert A, Geinger M. Monitoring in the clouds: comparison of ECO2Clouds and EXCESS monitoring approaches. arXiv:1601.07355 [Preprint]. 2016 [cited 2020 June 2]. Available from: https://arxiv.org/abs/1601.07355.
- Rong K, Bailis P. ASAP: prioritizing attention via time series smoothing. Proceedings of the Very Large Data Bases Endowment. 2017;10(11):1358–1369. DOI: 10.14778/3137628.3137645.
- Knuth DE. A generalization of Dijkstra’s algorithm. Information Processing Letters. 1977;6(1):1–5. DOI: 10.1016/0020-0190(77)90002-3.
- Deitrich CJ, Rossow C, Freiling FC, Bos H, van Steen M, Pohlmann N. On botnets that use DNS for command and control. In: 7 th European Conference on Computer Network Defense; 2011 September 6–7; Gotheburg, Sweden. Piscataway: IEEE; 2011. p. 9–16. DOI: 10.1109/EC2ND.2011.16.
- Tatang D, Quinket F, Dolecki N, Holz T. A study of newly observed hostnames and DNS tunneling in the wild. arXiv:1902.08454 [Preprint]. 2019 [cited 2020 June 2]. Available from: https://arxiv.org/abs/1902.08454.
- Bubnov Y. DNS tunneling queries for binary classification. Mendeley Data [Internet]. 2019 [cited 2020 August 17]. Available from: https://data.mendeley.com/datasets/mzn9hvdcxg/1. DOI: 10.17632/mzn9hvdcxg.1.
- Bubnov Y. DNS tunneling detection using feedforward neural network. European Journal of Engineering Research and Science. 2018;3(11):16–19. DOI: 10.24018/ejers.2018.3.11.963.
Copyright (c) 2020 Журнал Белорусского государственного университета. Математика. Информатика
Это произведение доступно по лицензии Creative Commons «Attribution-NonCommercial» («Атрибуция — Некоммерческое использование») 4.0 Всемирная.
Авторы, публикующиеся в данном журнале, соглашаются со следующим:
- Авторы сохраняют за собой авторские права на работу и предоставляют журналу право первой публикации работы на условиях лицензии Creative Commons Attribution-NonCommercial. 4.0 International (CC BY-NC 4.0).
- Авторы сохраняют право заключать отдельные контрактные договоренности, касающиеся неэксклюзивного распространения версии работы в опубликованном здесь виде (например, размещение ее в институтском хранилище, публикацию в книге) со ссылкой на ее оригинальную публикацию в этом журнале.
- Авторы имеют право размещать их работу в интернете (например, в институтском хранилище или на персональном сайте) до и во время процесса рассмотрения ее данным журналом, так как это может привести к продуктивному обсуждению и большему количеству ссылок на данную работу. (См. The Effect of Open Access).