Встреч не запланировано

Распознавание вредоносных доменов по DNS-трафику

Хостинги и серверы • VPS • VPN

1
+
Ответить Сохранить
Добавлено: Суббота Марта 07, 2015 20:08 pm

Владелец клубной карты Участник внес депозит Выдается за оплату размещения рекламы от 6х месяцев 



Репутация: 2    
MISTER "X"
Руб.
1200
DNS-провайдер OpenDNS представил новый алгоритм NLPRank, который умеет выявлять фишинговые кампании и продвинутые APT-угрозы, анализируя лингвистические паттерны в DNS-трафике. Другими словами, по названиям запрашиваемых доменов и по изменению таких запросов со временем.

Аббревиатура NLP в названии означает технику обработки естественного языка (natural language processing). Подобные алгоритмы чаще используют в дата-майнинге и боинформатике, так что применение их для DNS-трафика в сфере информационной безопасности — что-то новенькое.

В случае фишинговых и APT-атак можно довольно просто понять принцип работы NLPRank. Авторам вредоносных программ требуются хосты, максимально похожие на легитимные домены. При этом трафик к таким хостам резко возрастает после начала атаки, когда тысячи жертв переходят по ссылкам.

NLPRank использует несколько эвристик. Близость между названиями подозрительного и легитимного хостов он вычисляет по количеству операций, которые нужно совершить для преобразования одной последовательности букв в другую (edit-distance). Эта тенденция прослеживается на примере разных атак.

Кроме буквенной близости, анализируются уникальные номера ASN, данные WHOIS, дата регистрации домена, одинаковые фрагменты HTML-кода на страницах разных доменов и прочее.
 Пробив сервис от MISTER X
ICQ 10700000
JABBER :  Скрытый текст 


 Скрытый текст 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы можете вкладывать файлы
Вы можете скачивать файлы