Please use this identifier to cite or link to this item:
http://elar.khnu.km.ua/jspui/handle/123456789/9164

Можете відсканувати цей QR-код телефоном( програмою "Сканер QR-кодів" ) для збереження.

Title: Метод виокремлення фрагментів бот-мереж на основі аналізу мережевого трафіку
Other Titles: Method of detecting fragments of botnets based on the analysis of network traffic
Authors: Нічепорук, А.О.
Нічепорук, А.А.
Нічепорук, Ю.О.
Казанцев, А.Д.
Nicheporuk, A.O.
Nicheporuk, A.A.
Nicheporuk, Y.O.
Kazantsev, A.D.
Keywords: бот-мережа;мережевий трафік;орієнтований граф;хост;botnet;network traffic;oriented graph;host
Issue Date: 2020
Publisher: Хмельницький національний університет
Citation: Метод виокремлення фрагментів бот-мереж на основі аналізу мережевого трафіку / А. О. Нічепорук, А. А. Нічепорук, Ю. О. Нічепорук, А. Д. Казанцев // Вісник Хмельницького національного університету. Технічні науки. – 2020. – № 2. – С. 141-149.
Abstract: В роботі запропоновано метод виявлення фрагментів бот-мереж на основі аналізу мережевого трафіку. Метод заснований на представленні шкідливої активності, що здійснюють боти в локальній мережі у вигляді зваженого орієнтованого графу, де вершинами виступають хости мережі, а ребрами – зв’язки між хостами. З метою виявлення шкідливої активності на хості використаємо IDS Snort – мережеву систему виявлення вторгнень, що працює за принципом мережевих сніферів. Всі шкідливі активності розподілено сім категорій: контроль, сканування, спам, отримання інформації, завантаження, атака та категорія інші Зв’язність графу забезпечується наявністю ребер, які мають ваги. Вагою ребра, що з'єднує два вузли, є імовірність того, що два вузли є частиною однієї бот-мережі. Для визначення імовірності того, що два вузли є частиною однієї бот-мережі використовується правило Байєса. Оновлення вагів ребер відбувається після кожного інтервалу часу в межах загального часу моніторингу шкідливої активності. Наприкінці часу моніторингу здійснюється розбиття отриманого графу на підграфи, що відповідають окремим бот-мережам. Для розбиття графу на підграфи розроблений алгоритм, що дозволяє виділити фрагменти різних бот-мереж, які присутні в локальній мережі. Представлений алгоритм використовує “жадібний” підхід та ґрунтується на обчисленні максимального виграшу, який може принести перенесення будь-якої вершини в той чи інший підграф розбиття.
The paper proposes a method of detecting fragments of botnets based on the analysis of network traffic. The proposed method depends primarily on the temporary relationships of malicious actions between computers on the network and does not depend on the architectures of botnets and the tools used to manage them. The method is based on the representation of malicious activity performed by bots in the local network in the form of a weighted oriented graph, where the vertices are the hosts of the network, and the edges are the connections between the hosts. In order to detect malicious activity on the host, we use IDS Snort - a network intrusion detection system that works on the principle of network sniffers. All malicious activities are divided into seven categories: control, scanning, spam, information retrieval, downloads, attacks and other categories. The connectivity of the graph is ensured by the presence of edges that have weights. The weight of the edge connecting the two nodes is the probability that the two nodes are part of the same bot network. The Bayesian rule is used to determine the probability that two nodes are part of the same bot network. The edge weights are updated after each time interval within the total time of harmful activity monitoring. At the end of the monitoring time, the obtained graph is divided into subgraphs corresponding to individual bot networks. An algorithm has been developed to divide a graph into subgraphs, which allows to select fragments of different bot networks that are present in the local network. The presented algorithm uses a "greedy" approach and is based on the calculation of the maximum gain that can bring the transfer of any vertex in a subgraph of the partition. To verifying the effectiveness of the proposed method, a number of experiments were performed, which included determining the fact of the presence of a botnet on a local computer network.
URI: http://elar.khnu.km.ua/jspui/handle/123456789/9164
UDC: 621.391 160164
metadata.dc.type: Стаття
Appears in Collections:Вісник ХНУ. Технічні науки - 2020 рік

Files in This Item:
File Description SizeFormat 
НІЧЕПОРУК,.pdf4,59 MBAdobe PDFThumbnail
View/Open


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.