|
Савенко, О. С. DNS-метод виявлення бот-мереж [Електронний ресурс] / О. С. Савенко, С. М. Лисенко, К. Ю. Бобровнікова // Інформаційні технології та комп'ютерна інженерія. – 2014. – № 3. – С. 39-45.
Представлено розроблений DNS-метод виявлення бот-мереж, заснований на властивості синхронної скоординованої активності інфікованих хостів в DNS-трафіку, який ґрунтується на аналізі TTL-періодів, отриманих в DNS-відповідях, та враховує нетипові для звичайних користувачів особливості поведінки, властиві багатьом видам ботнетів: ігнорування TTL-періоду, здійснення DNS-запитів поза локальними DNS-серверами та підвищену кількість порожніх DNS-відповідей з кодом помилки NXDOMAIN (доменне ім’я не існує). Наведено результати експериментів, проведених з метою перевірки ефективності запропонованого методу. Метод дозволяє здійснювати виявлення на початковій стадії поширення інфекції в мережі та виявляти ще невідомі боти.
|