Будь ласка, використовуйте цей ідентифікатор, щоб цитувати або посилатися на цей матеріал:
http://elar.khnu.km.ua/jspui/handle/123456789/9164

Можете відсканувати цей QR-код телефоном( програмою "Сканер QR-кодів" ) для збереження.

Назва: Метод виокремлення фрагментів бот-мереж на основі аналізу мережевого трафіку
Інші назви: Method of detecting fragments of botnets based on the analysis of network traffic
Автори: Нічепорук, А.О.
Нічепорук, А.А.
Нічепорук, Ю.О.
Казанцев, А.Д.
Nicheporuk, A.O.
Nicheporuk, A.A.
Nicheporuk, Y.O.
Kazantsev, A.D.
Ключові слова: бот-мережа;мережевий трафік;орієнтований граф;хост;botnet;network traffic;oriented graph;host
Дата публікації: 2020
Видавництво: Хмельницький національний університет
Бібліографічний опис: Метод виокремлення фрагментів бот-мереж на основі аналізу мережевого трафіку / А. О. Нічепорук, А. А. Нічепорук, Ю. О. Нічепорук, А. Д. Казанцев // Вісник Хмельницького національного університету. Технічні науки. – 2020. – № 2. – С. 141-149.
Короткий огляд (реферат): В роботі запропоновано метод виявлення фрагментів бот-мереж на основі аналізу мережевого трафіку. Метод заснований на представленні шкідливої активності, що здійснюють боти в локальній мережі у вигляді зваженого орієнтованого графу, де вершинами виступають хости мережі, а ребрами – зв’язки між хостами. З метою виявлення шкідливої активності на хості використаємо IDS Snort – мережеву систему виявлення вторгнень, що працює за принципом мережевих сніферів. Всі шкідливі активності розподілено сім категорій: контроль, сканування, спам, отримання інформації, завантаження, атака та категорія інші Зв’язність графу забезпечується наявністю ребер, які мають ваги. Вагою ребра, що з'єднує два вузли, є імовірність того, що два вузли є частиною однієї бот-мережі. Для визначення імовірності того, що два вузли є частиною однієї бот-мережі використовується правило Байєса. Оновлення вагів ребер відбувається після кожного інтервалу часу в межах загального часу моніторингу шкідливої активності. Наприкінці часу моніторингу здійснюється розбиття отриманого графу на підграфи, що відповідають окремим бот-мережам. Для розбиття графу на підграфи розроблений алгоритм, що дозволяє виділити фрагменти різних бот-мереж, які присутні в локальній мережі. Представлений алгоритм використовує “жадібний” підхід та ґрунтується на обчисленні максимального виграшу, який може принести перенесення будь-якої вершини в той чи інший підграф розбиття.
The paper proposes a method of detecting fragments of botnets based on the analysis of network traffic. The proposed method depends primarily on the temporary relationships of malicious actions between computers on the network and does not depend on the architectures of botnets and the tools used to manage them. The method is based on the representation of malicious activity performed by bots in the local network in the form of a weighted oriented graph, where the vertices are the hosts of the network, and the edges are the connections between the hosts. In order to detect malicious activity on the host, we use IDS Snort - a network intrusion detection system that works on the principle of network sniffers. All malicious activities are divided into seven categories: control, scanning, spam, information retrieval, downloads, attacks and other categories. The connectivity of the graph is ensured by the presence of edges that have weights. The weight of the edge connecting the two nodes is the probability that the two nodes are part of the same bot network. The Bayesian rule is used to determine the probability that two nodes are part of the same bot network. The edge weights are updated after each time interval within the total time of harmful activity monitoring. At the end of the monitoring time, the obtained graph is divided into subgraphs corresponding to individual bot networks. An algorithm has been developed to divide a graph into subgraphs, which allows to select fragments of different bot networks that are present in the local network. The presented algorithm uses a "greedy" approach and is based on the calculation of the maximum gain that can bring the transfer of any vertex in a subgraph of the partition. To verifying the effectiveness of the proposed method, a number of experiments were performed, which included determining the fact of the presence of a botnet on a local computer network.
URI (Уніфікований ідентифікатор ресурсу): http://elar.khnu.km.ua/jspui/handle/123456789/9164
УДК: 621.391 160164
Тип вмісту: Стаття
Розташовується у зібраннях:Вісник ХНУ. Технічні науки - 2020 рік

Файли цього матеріалу:
Файл Опис РозмірФормат 
НІЧЕПОРУК,.pdf4,59 MBAdobe PDFЕскіз
Переглянути/Відкрити


Усі матеріали в архіві електронних ресурсів захищені авторським правом, всі права збережені.